Re: CVE-2021-38503
Il 16/11/21 16:31, Piviul ha scritto: non è strano che nel mondo debian non se ne parli proprio? In realtà è documentato nel Debian Security Tracker[1] A me sembra un fake: se si va nel "national vulnerability database" dice "CVE ID Not Found"[¹]. La descrizione della vulnerabilità[²] dice essere riservata così non si può sapere di cosa si tratta... aspettiamo e vediamo ma se qualcuno ne sapesse qualcosa... Grazie Piviul [¹] https://nvd.nist.gov/vuln/detail/CVE-2021-38503 [²] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38503 Perché pensi sia un fake? E' normale che vulnerabilità importanti vengano sottoposte ad un periodo di embargo prima di rendere pubblici i dettagli per dare a tutti la possibilità di creare ed applicare le correzioni necessarie. [1] https://security-tracker.debian.org/tracker/CVE-2021-38503 -- Mandi. Paolo
Re: CVE-2021-38503
Il 17/11/21 14:58, Mattia Rizzolo ha scritto: [...] Quindi è da anni che per quei pacchetti (e altri) semplicemente si prende qualsiasi cosa rilasci upstream. Quindi normalmente debian che fa? Aggiorna le versioni di TB e FF anche in stable? ...me ne rendo conto solo ora Piviul
Re: CVE-2021-38503
Purtroppo è una pratica adottata anche dove non si dovrebbe, e da parecchio. Quando acquistammo un sistema di storage da EMC (prima che entrasse Dell!), ogni volta che provavamo a segnalare un problema, prima ancora di prenderlo a mano ci richiedevano di aggiornare il firmware e i driver FC. Ovvero avevamo preso un sistema che non doveva fermarsi mai e alla fine stava più tempo fermo per aggiornamenti che in funzione. Inutili, la maggior parte delle volte... Il 17/11/2021 14:58, Mattia Rizzolo ha scritto: On Wed, Nov 17, 2021 at 02:43:35PM +0100, Piviul wrote: Pensavo fosse un fake perché temevo che fosse un modo per sponsorizzare pratiche alla windows maniera cosa a cui mi sembra ubuntu si stia adeguando dove si è soliti aggiornare all'ultima versione un programma invece di creare ed installare una patch per la versione corrente senza pensare che magari facendo l'aggiornamento di versione sicuramente si risolve il baco ma si potrebbe introdurne altri non ancora scoperti ma più importanti... Quanto dici ha molto senso, con l'eccezione che firefox/chromium/thunderbird e altri sono troppo troppo grossi e tirano su davvero troppi CVE con molta regolarità, al punto che è abbastanza improponibile patchare singole vulnerabilità nella distribuzione e restare sani a lungo termine. Quindi è da anni che per quei pacchetti (e altri) semplicemente si prende qualsiasi cosa rilasci upstream. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: CVE-2021-38503
On Wed, Nov 17, 2021 at 02:43:35PM +0100, Piviul wrote: > Pensavo fosse un fake perché temevo che fosse un modo per sponsorizzare > pratiche alla windows maniera cosa a cui mi sembra ubuntu si stia adeguando > dove si è soliti aggiornare all'ultima versione un programma invece di > creare ed installare una patch per la versione corrente senza pensare che > magari facendo l'aggiornamento di versione sicuramente si risolve il baco ma > si potrebbe introdurne altri non ancora scoperti ma più importanti... Quanto dici ha molto senso, con l'eccezione che firefox/chromium/thunderbird e altri sono troppo troppo grossi e tirano su davvero troppi CVE con molta regolarità, al punto che è abbastanza improponibile patchare singole vulnerabilità nella distribuzione e restare sani a lungo termine. Quindi è da anni che per quei pacchetti (e altri) semplicemente si prende qualsiasi cosa rilasci upstream. -- regards, Mattia Rizzolo GPG Key: 66AE 2B4A FCCF 3F52 DA18 4D18 4B04 3FCD B944 4540 .''`. More about me: https://mapreri.org : :' : Launchpad user: https://launchpad.net/~mapreri `. `'` Debian QA page: https://qa.debian.org/developer.php?login=mattia `- signature.asc Description: PGP signature
Re: CVE-2021-38503
Il 17/11/21 08:55, Paolo Miotto ha scritto: [...]Perché pensi sia un fake? E' normale che vulnerabilità importanti vengano sottoposte ad un periodo di embargo prima di rendere pubblici i dettagli per dare a tutti la possibilità di creare ed applicare le correzioni necessarie. [1] https://security-tracker.debian.org/tracker/CVE-2021-38503 Si, infatti come dicevo in un precedente post qua[¹] si possono trovare tutte le CVE riguardanti thunderbird e il loro stato ed in effetti c'è anche la CVE-2021-38503 in cui si dice soltanto che è stato risolto in sid con l'aggiornamento alla versione 91.3. Pensavo fosse un fake perché temevo che fosse un modo per sponsorizzare pratiche alla windows maniera cosa a cui mi sembra ubuntu si stia adeguando dove si è soliti aggiornare all'ultima versione un programma invece di creare ed installare una patch per la versione corrente senza pensare che magari facendo l'aggiornamento di versione sicuramente si risolve il baco ma si potrebbe introdurne altri non ancora scoperti ma più importanti... Grazie Piviul [¹] https://security-tracker.debian.org/tracker/source-package/thunderbird
Re: CVE-2021-38503
Il 16/11/21 18:05, valerio ha scritto: [...] descrizione della vulnerabilità[²] dice essere riservata così non si può sapere di cosa si tratta... aspettiamo e vediamo ma se qualcuno ne sapesse qualcosa... anch'io sono curioso... In effetti qua[¹] si vedono una decina di CVE di thunderbird senza patch ma risolti in sid con l'aggiornamento alla 91.x Piviul [¹] https://security-tracker.debian.org/tracker/source-package/thunderbird
