Am Samstag, den 16.07.2005, 13:44 +0200 schrieb Daniel Leidert: > Am Freitag, den 15.07.2005, 11:03 +0200 schrieb Andreas Barth: > > * Christian Schulte ([EMAIL PROTECTED]) [050715 10:12]: > > > Im Fall von ClamAV ist Volatile dann aber nichts anderes als ein > > > Backport von Unstable. Es enthält ein in Sarge bereits geschlossenes > > > Sicherheitsloch. > > > > Welches in Sarge bereits geschlossenes Sicherheitsloch ist in volatile > > nicht geschlossen? (Im Gegenteil, volatile war der Anstoß für > > security.d.o, Sicherheitslöcher in clamav zu schliessen.) > > Sieht sogar danach aus, als wäre der in > http://www.idefense.com/application/poi/display?id=275&type=vulnerabilities&flashstatus=true > als angreifbar bezeichnete Code auch noch in Sarge vorhanden (Vergleich > zwischen clamav-0.84/libclamav/mspack/mszipd.c und genanntem Schriftstück > zeigt keinerlei Differenzen).
FTR: Nach erneuten Rücksprachen und Nachfragen: CAN-2005-1923 wurde wohl an anderer Stelle gefixt (libclamav/mspack/cabd.c) und scheint damit tatsächlich in allen Versionen für Debian behoben zu sein. MfG Daniel
