Bug 7956 - Уязвимость форматной строки в GNOME Evolution
: Уязвимость форматной строки в GNOME Evolution
Status: CLOSED WONTFIX
: ALT Linux 2.4
(All bugs in ALT Linux 2.4/evolution)
: 2.4
: all Linux
: P2 normal
Assigned To:
:
: http://www.securitylab.ru/vulnerabili...
:
:
:
  Show dependency tree
 
Reported: 2005-09-14 11:46 by
Modified: 2007-12-11 16:30 (History)


Attachments
patch for evolution formatstring vulnerability (2.10 KB, patch)
2006-01-10 10:14, Serg Rychka
no flags Details | Diff


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2005-09-14 11:46:18
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать
целевую систему.

1. Уязвимость форматной строки существует при отображении полной vCard
информации, добавленной к e-mail сообщению. Удачная эксплуатация возможна, если
пользователь нажмет на "Show Full vCard" или сохранит vCard в адресной книге и
затем просмотрит запись.

2. Уязвимость форматной строки существует при получении специально
сформированных данных с LDAP сервера.

3. Уязвимость форматной строки существует при отображении специально
сформированного списка задач, загруженного с удаленного сервера, если
пользователь сохранит этот список в «Календарь».
------- Comment #1 From 2005-09-22 22:00:53 -------
Reassigned to the new maintainer.
------- Comment #2 From 2005-09-22 22:01:29 -------
Will be fixed with Evolution 2.4.0.
------- Comment #3 From 2005-10-27 02:20:09 -------
Evolution 2.4.1 has been released to Sisyphus.
------- Comment #4 From 2005-11-11 11:11:16 -------
Так как данный баг попадает под определение security bug, хотелось бы помимо
сизифа увидеть обновление в security announces updates.
------- Comment #5 From 2005-11-12 02:12:30 -------
(In reply to comment #4)
> Так как данный баг попадает под определение security bug, хотелось бы помимо
> сизифа увидеть обновление в security announces updates.

То есть нужно выпускать патч для Evolution 2.2 и GNOME 2.10?
Его можно взять в апдейтах к FC4.
------- Comment #6 From 2005-11-14 11:26:32 -------
(In reply to comment #5)
> (In reply to comment #4)
> > Так как данный баг попадает под определение security bug, хотелось бы помимо
> > сизифа увидеть обновление в security announces updates.
> 
> То есть нужно выпускать патч для Evolution 2.2 и GNOME 2.10?
> Его можно взять в апдейтах к FC4.

Насколько я знаю, нужно пропатчить последнюю редакцию пакета в ALM2.4 
или SA updates (на данный момент это версия evolution-2.0.4-alt0.M24.1,
находящаяся в updates - бывшый майнтейнер - Yuri N. Sedunov) и положить обратно
в updates.
Если я не прав - прошу уважаемых СС: поправить меня.
------- Comment #7 From 2005-11-14 12:38:58 -------
Серёж, а не хотите помочь с выпуском (включая проверку) обновлений?

При написании ответа на сообщение Димы в devel@ (с копией в community@) в том
числе и Вас подразумевал как возможно заинтересованного.
------- Comment #8 From 2005-11-14 14:53:06 -------
(In reply to comment #7)
> Серёж, а не хотите помочь с выпуском (включая проверку) обновлений?
> 
> При написании ответа на сообщение Димы в devel@ (с копией в community@) в том
> числе и Вас подразумевал как возможно заинтересованного.

Миша, я использую ALTLinux не первый год в production-серверах, да и на
десктопах, и конечно хотелось бы (и раньше хотелось) принять участие в команде
по разработке/сопровождению дистрибутива. Но помимо желания есть и реалии,
которые заключаются в большом объеме работы и как следствие - нехватки времени.
Мне не хотелось бы давать опрометчивых обещаний и браться за работу, а потом
идти в отказ... Я подумаю, взвешу и отпишусь Вам в личку (или в community@).
------- Comment #9 From 2006-01-05 17:55:39 -------
Здесь что-нибудь сделано? От сопроводителя в Sisyphus помощь нужна?
------- Comment #10 From 2006-01-10 10:14:10 -------
Created an attachment (id=1334) [details]
patch for evolution formatstring vulnerability
------- Comment #11 From 2006-01-10 10:16:40 -------
Не сделано.
PS: актуальность потеряна помоему в виду экзотичности уязвимости.
------- Comment #12 From 2007-11-22 01:46:46 -------
Если все ещё неактуально - просьба закрыть :)
------- Comment #13 From 2007-11-22 09:56:34 -------
согласен