Re: packages: lynx/lynx.spec - up to 2.8.7rel.1 [fixes CVE-2008-4690] - acfix, ...

Mon, 06 Jul 2009 23:54:09 -0700 

Wiadomość napisana w dniu 2009-07-06, o godz. 17:09, przez Bartosz  
Świątek:

> W dniu 6 lipca 2009 16:57 użytkownik Michał Lisowski  
> <lis...@gmail.com> napisał:
>>
>> Wiadomość napisana w dniu 2009-07-06, o godz. 16:40, przez Bartosz
>> Świątek:
>>
>>> W dniu 6 lipca 2009 16:35 użytkownik Bartosz Świątek
>>> <shad...@gmail.com> napisał:
>>>> W dniu 6 lipca 2009 16:34 użytkownik Michał Lisowski <lis...@gmail.com
>>>>> napisał:
>>>>>
>>>>> Wiadomość napisana w dniu 2009-07-06, o godz. 16:30, przez Bartosz
>>>>> Świątek:
>>>>>
>>>>>> W dniu 6 lipca 2009 16:23 użytkownik Michał Lisowski
>>>>>> <lis...@gmail.com> napisał:
>>>>>>>
>>>>>>> Wiadomość napisana w dniu 2009-07-06, o godz. 16:17, przez  
>>>>>>> Bartosz
>>>>>>> Świątek:
>>>>>>>
>>>>>>>> W dniu 6 lipca 2009 16:11 użytkownik Michał Lisowski
>>>>>>>> <lis...@gmail.com> napisał:
>>>>>>>>>
>>>>>>>>> Wiadomość napisana w dniu 2009-07-06, o godz. 16:02, przez
>>>>>>>>> Bartosz
>>>>>>>>> Świątek:
>>>>>>>>>
>>>>>>>>>> 2009/7/6 lisu <l...@pld-linux.org>:
>>>>>>>>>>> Author: lisu                         Date: Mon Jul  6  
>>>>>>>>>>> 13:56:41
>>>>>>>>>>> 2009
>>>>>>>>>>> GMT
>>>>>>>>>>> Module: packages                      Tag: HEAD
>>>>>>>>>>> ---- Log message:
>>>>>>>>>>> - up to 2.8.7rel.1 [fixes CVE-2008-4690]
>>>>>>>>>>> - acfix, autoconf, cfg, config, pld, po_DESTDIR patches
>>>>>>>>>>> updated
>>>>>>>>>>> - CVE-2008-4690.patch removed
>>>>>>
>>>>>> To jeszcze faktycznie go usuń.
>>>>>
>>>>> jest uzywany na AC-branch, dlatego zostal.
>>>>
>>>> Aha, OK.
>>>
>>> A to:
>>>
>>> %triggerpostun -- %{name} < 2.8.6rel.5-4
>>> # for CVE-2008-4690
>>> %{__sed} -i -e '/^#TRUSTED_LYNXCGI:/s,^#,,' %{_sysconfdir}/lynx.cfg
>>>
>>> tak zostaje, to ciągle jest na czasie?
>>
>> nie wiem, nie umiem, ale chetnie sie dowiem.
>
> No ja też nie wiem, stąd pytam. Sprawdź konfig przed tym sedem i po.
> Czy ten sed spełnia jeszcze swoją rolę.

config jest nadal zmieniany, ale poprawki w zrodlach sprawiaja, ze ten  
trigger jest nieaktualny. zgodnie z opisem CVE-2008-4690:

"lynx 2.8.6dev.15 and earlier, when advanced mode is enabled and lynx  
is configured as a URL handler, allows remote attackers to execute  
arbitrary commands via a crafted lynxcgi: URL, a related issue to  
CVE-2005-2929. NOTE: this might only be a vulnerability in limited  
deployments that have defined a lynxcgi: handler."

_______________________________________________
pld-devel-pl mailing list
pld-devel-pl@lists.pld-linux.org
http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl

Odpowiedź listem elektroniczym