Am Freitag, den 08.07.2005, 00:44 +0200 schrieb Thomas Weinbrenner: > Daniel Leidert wrote: > > > Volatile ist _kein(!)_ offizieller Teil des Debian-Projekts und mit > > Backports vergleichbar! Der Einsatz sollte daher gründlich überlegt und > > abgewogen werden. Im Falle von ClamAV sehe ich nicht unbedingt > > Handlungsbedarf. In diesem speziellen Fall kann der OP sich sogar selbst > > ins Knie schießen. Die Volatile-Pakete werden aus den Sid-Quellen > > gebaut. In Sid wurde aber ein Fehler, der für einen DoS genutzt werden > > kann, noch gar nicht gefixt. > > Ach ja?
Ja. Und das wüsstest du, hättest du den von dir selbst per URL angegeben Bug-Thread richtig durchgelesen oder nur ansatzweise auf die Tags geachtet (#316401 ist mit "Sid" markiert!). > > Dagegen wurden die Pakete auf security.d.o gepatcht. Die > > Volatile-Pakete beherbergen also aktuell eine > > Sicherheitslücke > > (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316401). > > Schauen wir mal: Muss ich nicht, ich habe den Bug gemeldet. > | iDefense discovered several vulnerabilities in ClamAV (< 0.86) allowing > ^^^^^^ > | attackers to cause a Denial of Service condition. > > Aktuelle Clamav-Version in Sid: 0.86.1-2 > Aktuelle Clamav-Version in Volatile: 0.86.1-0volatile2 > > Wo ist das Problem? Lies dir bitte die paar Mails unter http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316401, http://www.heise.de/security/news/meldung/61281 + die letzte Mail in http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316462 durch und du wirst sehen, dass ich Recht habe. Du hast dem OP ein Paket mit einem Exploit empfohlen. In dem Fall ist das Problem noch nicht so schwerwiegend, wie ein möglicher remote Root-Exploit, demonstriert aber die Schwäche des Volatile-Projekts. Volatile mag nützlich sein, um z.B. debian-keyring in Sarge aktuell zu halten. Da es aber ansonsten nicht offiziell zu Debian gehört und damit nicht in die Struktur eingebunden ist, können jederzeit Sicherheitsprobleme auftreten, die man mit offiziellen Sarge-Paketen nicht hätte. MfG Daniel
