Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему. 1. Уязвимость форматной строки существует при отображении полной vCard информации, добавленной к e-mail сообщению. Удачная эксплуатация возможна, если пользователь нажмет на "Show Full vCard" или сохранит vCard в адресной книге и затем просмотрит запись. 2. Уязвимость форматной строки существует при получении специально сформированных данных с LDAP сервера. 3. Уязвимость форматной строки существует при отображении специально сформированного списка задач, загруженного с удаленного сервера, если пользователь сохранит этот список в «Календарь».
Reassigned to the new maintainer.
Will be fixed with Evolution 2.4.0.
Evolution 2.4.1 has been released to Sisyphus.
Так как данный баг попадает под определение security bug, хотелось бы помимо сизифа увидеть обновление в security announces updates.
(In reply to comment #4) > Так как данный баг попадает под определение security bug, хотелось бы помимо > сизифа увидеть обновление в security announces updates. То есть нужно выпускать патч для Evolution 2.2 и GNOME 2.10? Его можно взять в апдейтах к FC4.
(In reply to comment #5) > (In reply to comment #4) > > Так как данный баг попадает под определение security bug, хотелось бы помимо > > сизифа увидеть обновление в security announces updates. > > То есть нужно выпускать патч для Evolution 2.2 и GNOME 2.10? > Его можно взять в апдейтах к FC4. Насколько я знаю, нужно пропатчить последнюю редакцию пакета в ALM2.4 или SA updates (на данный момент это версия evolution-2.0.4-alt0.M24.1, находящаяся в updates - бывшый майнтейнер - Yuri N. Sedunov) и положить обратно в updates. Если я не прав - прошу уважаемых СС: поправить меня.
Серёж, а не хотите помочь с выпуском (включая проверку) обновлений? При написании ответа на сообщение Димы в devel@ (с копией в community@) в том числе и Вас подразумевал как возможно заинтересованного.
(In reply to comment #7) > Серёж, а не хотите помочь с выпуском (включая проверку) обновлений? > > При написании ответа на сообщение Димы в devel@ (с копией в community@) в том > числе и Вас подразумевал как возможно заинтересованного. Миша, я использую ALTLinux не первый год в production-серверах, да и на десктопах, и конечно хотелось бы (и раньше хотелось) принять участие в команде по разработке/сопровождению дистрибутива. Но помимо желания есть и реалии, которые заключаются в большом объеме работы и как следствие - нехватки времени. Мне не хотелось бы давать опрометчивых обещаний и браться за работу, а потом идти в отказ... Я подумаю, взвешу и отпишусь Вам в личку (или в community@).
Здесь что-нибудь сделано? От сопроводителя в Sisyphus помощь нужна?
Created attachment 1334 [details] patch for evolution formatstring vulnerability
Не сделано. PS: актуальность потеряна помоему в виду экзотичности уязвимости.
Если все ещё неактуально - просьба закрыть :)
согласен
