Em 14/10/12 13:10, Marcelo Gondim escreveu: > Pessoal, > > Recentemente descobri que o portaudit não está mostrando vulnerabilidade > quando estamos usando o bind e a option REPLACE_BASE marcada. Isso faz > com que o pacote gerado se chame bindXX-base-... e a base de > vulnerabilidades não contempla esse nome, somente bind e por isso não > funciona como deveria. Passei para o sec team o problema e já está > havendo uma discussão sobre isso e acredito que logo teremos uma solução > definitiva para esse pepino. :) Quem tiver o bind dessa forma vai > precisar atualizar de qualquer jeito. Para vocês perceberem o problema: > > # pkg_info |grep bind > bind98-base-9.8.3.3 BIND DNS suite with updated DNSSEC and DNS64 > > root@zeus:~# portaudit -Fda > New database installed. > Database created: Thu Oct 11 15:00:02 BRT 2012 > 0 problem(s) in your installed packages found. > > De acordo com esse advisory abaixo eu estou vulnerável: > > http://www.vuxml.org/freebsd/57a700f9-12c0-11e2-9f86-001d923933b6.html > > Estou mandando esse e-mail aqui na lista para avisar à todos que possam > estar com o mesmo problema. :) > > No passado o mesmo ocorria com o pacote do phpmyadmin e não era > detectado pelo portaudit mas foi corrigido e nunca mais apresentou esse > erro. > > Grande abraço > Gondim > > Opa pelo visto já adicionaram e agora sim funciona:
# bzcat /var/db/portaudit/auditfile.tbz|strings |grep bind bind99<9.9.1.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9* -- crash on deliberately constructed combination of records bind99-base<9.9.1.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9* -- crash on deliberately constructed combination of records bind98<9.8.3.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9* -- crash on deliberately constructed combination of records bind98-base<9.8.3.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9* -- crash on deliberately constructed combination of records bind97<9.7.6.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9* -- crash on deliberately constructed combination of records bind97-base<9.7.6.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9* -- crash on deliberately constructed combination of records bind96<9.6.3.1.ESV.R7.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9* -- crash on deliberately constructed combination of records bind96-base<9.6.3.1.ESV.R7.4|http://portaudit.FreeBSD.org/57a700f9-12c0-11e2-9f86-001d923933b6.html|dns/bind9* -- crash on deliberately constructed combination of records ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd