Hallo zusammen, ich habe neinmal eine Frage zur "Informationspolitik" über sicherheitsrelevante Bugs.
Der vim in woody ist betroffen. Dies habe ich rein zufällig bemerkt als ich einem Bekannten Infos zur Anfälligkeit von seinen Internet Explorer schicken wollte. Dabei bin ich auf folgende Seite gestoßen: Some vim problems, yet still vim much better than windows http://www.guninski.com/misc.html Dort wird der Bug beschrieben, Datiert am: Date: 12 December 2002. Ausprobiert - und :((( Mein vim ist anfällig. In einer "stable" Gut. Ab nach: http://bugs.debian.org/cgi-bin/pkgreport.cgi?which=pkg&data=vim&archive=no * Important bugs - outstanding: Nix. Gut. Ahh, ganz unten auf der Seite: * Grave functionality bugs - resolved Hm. Oh da ist er ja beschrieben. Bug-Meldung von [EMAIL PROTECTED] am: Thu Jan 23 16:26:08 2003 [...] > This vulnerability can be fixed by applying the official upstream > vim patch 2.1.265 from www.vim.org [...] Antwort von Luca Filipozzi <[EMAIL PROTECTED]> am :Thu Jan 23 16:49:51 2003 [...] > A fixed package has already been uploaded to the security team. > They will release an advisory once they check my work and build > packages for the other architectures. [...] Etwas ähnliches ereignete sich auf [EMAIL PROTECTED] am 23.01 Also NIX resolved !!! Für mich und alle anderen (uninformierten) nicht. Und eine einfache Abhilfe bis zum eintreffenden Fix wäre die Deaktivierung der modeline im rc-file - so einfach. Auch beachte man die Zeitverzögerung von ca. 1/2 Monaten! Das Problem das ich damit habe ist folgendes: Ich habe debian-security nicht abonniert. Dachte sec-announce würde reichen. In so einen Fall könnten die doch eine Warnung herausgehen _obwohl_ noch keine gefixte Version erhältlich ist - oder? Noch einmal zum Verständnis: sind bei vim die modelines aktiviert und kann beim einlesen ein beliebiges programm aufgeführt werden. Fatal für der User "rm -R ~/*" Fatal für root und die User: "rm -R /*" # r!grep /usr/share/vim Puhh - nix gefunden. Aber was ist z.B. bei sudo? Es ist also IMHO wirklich ein deftiger Bug - und vor dem sollte gewarnt werden. Wieviele ähnliche und bekannte Grave functionality Bugs befinden sich noch auf meinem woody? Muss ich jetzt alle Pakete abklappern ?-) Also ich finde es schon äußerst befremdend und den Titel von Gegoris Seite nicht übertrieben auf auf debian gemünzt! Wie geht ihr damit um? Man kann doch nicht alle security-listen lesen! Wem müsste man auf den Fuß treten? Vielleicht wissen die von sec-announce erst etwas davon wenn ihnen ein neues Paket vorliegt(?) tztztz cu Juergen -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
