* Daniel Leidert ([EMAIL PROTECTED]) [050726 00:38]: > Am Samstag, den 16.07.2005, 13:44 +0200 schrieb Daniel Leidert: > > Am Freitag, den 15.07.2005, 11:03 +0200 schrieb Andreas Barth: > > > * Christian Schulte ([EMAIL PROTECTED]) [050715 10:12]: > > > > Im Fall von ClamAV ist Volatile dann aber nichts anderes als ein > > > > Backport von Unstable. Es enthält ein in Sarge bereits geschlossenes > > > > Sicherheitsloch. > > > > > > Welches in Sarge bereits geschlossenes Sicherheitsloch ist in volatile > > > nicht geschlossen? (Im Gegenteil, volatile war der Anstoß für > > > security.d.o, Sicherheitslöcher in clamav zu schliessen.) > > > > Sieht sogar danach aus, als wäre der in > > http://www.idefense.com/application/poi/display?id=275&type=vulnerabilities&flashstatus=true > > als angreifbar bezeichnete Code auch noch in Sarge vorhanden (Vergleich > > zwischen clamav-0.84/libclamav/mspack/mszipd.c und genanntem Schriftstück > > zeigt keinerlei Differenzen). > > FTR: Nach erneuten Rücksprachen und Nachfragen: CAN-2005-1923 wurde wohl > an anderer Stelle gefixt (libclamav/mspack/cabd.c) und scheint damit > tatsächlich in allen Versionen für Debian behoben zu sein.
Bei Clamav ist das Probleme eher, das es nicht zu allen Sicherheitslöchern cvs ids gibt, und das diese praktisch niemals im Upstream Changelog stehen. Wenn jemand etwas Zeit hat, sich darum zu kümmern, wäre das wirklich hilfreich. Grüße, Andi -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
