Hallo zusammen, ich habe neinmal eine Frage zur "Informationspolitik" �ber sicherheitsrelevante Bugs.
Der vim in woody ist betroffen. Dies habe ich rein zuf�llig bemerkt als ich einem Bekannten Infos zur Anf�lligkeit von seinen Internet Explorer schicken wollte. Dabei bin ich auf folgende Seite gesto�en: Some vim problems, yet still vim much better than windows http://www.guninski.com/misc.html Dort wird der Bug beschrieben, Datiert am: Date: 12 December 2002. Ausprobiert - und :((( Mein vim ist anf�llig. In einer "stable" Gut. Ab nach: http://bugs.debian.org/cgi-bin/pkgreport.cgi?which=pkg&data=vim&archive=no * Important bugs - outstanding: Nix. Gut. Ahh, ganz unten auf der Seite: * Grave functionality bugs - resolved Hm. Oh da ist er ja beschrieben. Bug-Meldung von [EMAIL PROTECTED] am: Thu Jan 23 16:26:08 2003 [...] > This vulnerability can be fixed by applying the official upstream > vim patch 2.1.265 from www.vim.org [...] Antwort von Luca Filipozzi <[EMAIL PROTECTED]> am :Thu Jan 23 16:49:51 2003 [...] > A fixed package has already been uploaded to the security team. > They will release an advisory once they check my work and build > packages for the other architectures. [...] Etwas �hnliches ereignete sich auf [EMAIL PROTECTED] am 23.01 Also NIX resolved !!! F�r mich und alle anderen (uninformierten) nicht. Und eine einfache Abhilfe bis zum eintreffenden Fix w�re die Deaktivierung der modeline im rc-file - so einfach. Auch beachte man die Zeitverz�gerung von ca. 1/2 Monaten! Das Problem das ich damit habe ist folgendes: Ich habe debian-security nicht abonniert. Dachte sec-announce w�rde reichen. In so einen Fall k�nnten die doch eine Warnung herausgehen _obwohl_ noch keine gefixte Version erh�ltlich ist - oder? Noch einmal zum Verst�ndnis: sind bei vim die modelines aktiviert und kann beim einlesen ein beliebiges programm aufgef�hrt werden. Fatal f�r der User "rm -R ~/*" Fatal f�r root und die User: "rm -R /*" # r!grep /usr/share/vim Puhh - nix gefunden. Aber was ist z.B. bei sudo? Es ist also IMHO wirklich ein deftiger Bug - und vor dem sollte gewarnt werden. Wieviele �hnliche und bekannte Grave functionality Bugs befinden sich noch auf meinem woody? Muss ich jetzt alle Pakete abklappern ?-) Also ich finde es schon �u�erst befremdend und den Titel von Gegoris Seite nicht �bertrieben auf auf debian gem�nzt! Wie geht ihr damit um? Man kann doch nicht alle security-listen lesen! Wem m�sste man auf den Fu� treten? Vielleicht wissen die von sec-announce erst etwas davon wenn ihnen ein neues Paket vorliegt(?) tztztz cu Juergen -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
