Bug 13482 - Remote code execution
: Remote code execution
Status: CLOSED FIXED
: Branch 4.0
(All bugs in Branch 4.0/clamav)
: 4.0
: all Linux
: P2 blocker
Assigned To:
:
: http://nvd.nist.gov/nvd.cfm?cvename=C...
:
:
: 14167
  Show dependency tree
 
Reported: 2007-11-21 09:57 by
Modified: 2008-05-23 19:27 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2007-11-21 09:57:20
Серьёзная ошибка в безопасности, насколько я понимаю надо фиксить срочно.
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-6029
------- Comment #1 From 2007-11-21 15:39:37 -------
Каким образом Вы предлагаете фиксить, если о сути уязвимости не знает никто
кроме тех, кто ее обнаружил?
------- Comment #2 From 2007-11-21 15:44:42 -------
(In reply to comment #1)
> Каким образом Вы предлагаете фиксить, если о сути уязвимости не знает никто
> кроме тех, кто ее обнаружил?

Вам апстрим ближе, возможно что-то обсуждается?
И ещё - уязвимы версии 0.91, про уязвимость 0.92rc ничего не сказано. Может
стоит перейти на неё в бранче?
------- Comment #3 From 2007-11-21 16:05:03 -------
(In reply to comment #2)
> (In reply to comment #1)
> > Каким образом Вы предлагаете фиксить, если о сути уязвимости не знает никто
> > кроме тех, кто ее обнаружил?
> 
> Вам апстрим ближе, возможно что-то обсуждается?

Обсуждается. :)

> И ещё - уязвимы версии 0.91, про уязвимость 0.92rc ничего не сказано.

Из того, что ничего не сказано не следует, что эта версия не является уязвимой.
Эксперты, которые выставили информацию об этой уязвимости на аукцион, всего лишь
написали, что они проверили уязвимость на 0.91.1, а затем 0.91.2.

> Может стоит перейти на неё в бранче?

Не вижу смысла - нет гарантий что это устранит уязвимость. Я собирался
перекладывать в бранч релиз, а не релиз-кандидат. Естественно, security-апдейт в
бранч пойдет...
------- Comment #4 From 2008-01-26 01:57:20 -------
В Sisyphus clamav-0.92-alt1,
в 4.0/branch clamav-0.91.2-alt1
------- Comment #5 From 2008-01-31 09:29:37 -------
Ну и где? force, ау
------- Comment #6 From 2008-01-31 18:12:26 -------
(In reply to comment #5)
> Ну и где? force, ау
Формальное требование о переносе из сизифа повешено в багзилу.
------- Comment #7 From 2008-05-23 19:27:18 -------
Закрываю баг, fixed.