Re: [freebsd] port vulnurabilities
> On 22 Apr 2022, at 15:32, Oleg V. Nauman wrote: > > On 2022 M04 22, Fri 15:18:36 EEST Taras Heichenko wrote: >>Hi! >> Столкнулся с какой-то странной фигней. Есть две машины с фрей: >> 12.3-RELEASE FreeBSD 12.3-RELEASE r371126 GENERIC amd64 >> и >> 12.3-STABLE stable/12-n235174-879a6b7b628 myconf i386 >> >> На обеих стоит ruby. На второй ruby-2.7.5,1 на которую pkg audit ругается >> по поводу vulnurabilities. Хорошо, обновил дерево портов, запустил >> portupgrade -R ruby-2.7.5,1 >> после чего он мне сказал >> ===> ruby27-2.7.6,1 has known vulnerabilities: >> ruby27-2.7.6,1 is vulnerable: >> Ruby -- Buffer overrun in String-to-Float conversion >> CVE: CVE-2022-28739 >> WWW: >> https://vuxml.FreeBSD.org/freebsd/06ed6a49-bad4-11ec-9cfe-0800270512f4.html > > Если верить этой ссылке, то ruby и ruby27 - порты разные и имеют разные > диапазоны версий, подверженных этой проблеме с безопасностью. pkg info говорит, что на обеих машинах ruby поставлен из порта lang/ruby27 > > [skip] >> Почему? >> >> -- >> Taras Heichenko >> ta...@academ.kiev.ua >> >> >> >> >> >> ___ >> freebsd mailing list >> freebsd@uafug.org.ua >> http://mailman.uafug.org.ua/mailman/listinfo/freebsd > > ___ > freebsd mailing list > freebsd@uafug.org.ua > http://mailman.uafug.org.ua/mailman/listinfo/freebsd -- Taras Heichenko ta...@academ.kiev.ua ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Re: [freebsd] port vulnurabilities
On 2022 M04 22, Fri 15:18:36 EEST Taras Heichenko wrote: > Hi! > Столкнулся с какой-то странной фигней. Есть две машины с фрей: > 12.3-RELEASE FreeBSD 12.3-RELEASE r371126 GENERIC amd64 > и > 12.3-STABLE stable/12-n235174-879a6b7b628 myconf i386 > > На обеих стоит ruby. На второй ruby-2.7.5,1 на которую pkg audit ругается > по поводу vulnurabilities. Хорошо, обновил дерево портов, запустил > portupgrade -R ruby-2.7.5,1 > после чего он мне сказал > ===> ruby27-2.7.6,1 has known vulnerabilities: > ruby27-2.7.6,1 is vulnerable: > Ruby -- Buffer overrun in String-to-Float conversion > CVE: CVE-2022-28739 > WWW: > https://vuxml.FreeBSD.org/freebsd/06ed6a49-bad4-11ec-9cfe-0800270512f4.html Если верить этой ссылке, то ruby и ruby27 - порты разные и имеют разные диапазоны версий, подверженных этой проблеме с безопасностью. [skip] > Почему? > > -- > Taras Heichenko > ta...@academ.kiev.ua > > > > > > ___ > freebsd mailing list > freebsd@uafug.org.ua > http://mailman.uafug.org.ua/mailman/listinfo/freebsd ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd
[freebsd] port vulnurabilities
Hi! Столкнулся с какой-то странной фигней. Есть две машины с фрей: 12.3-RELEASE FreeBSD 12.3-RELEASE r371126 GENERIC amd64 и 12.3-STABLE stable/12-n235174-879a6b7b628 myconf i386 На обеих стоит ruby. На второй ruby-2.7.5,1 на которую pkg audit ругается по поводу vulnurabilities. Хорошо, обновил дерево портов, запустил portupgrade -R ruby-2.7.5,1 после чего он мне сказал ===> ruby27-2.7.6,1 has known vulnerabilities: ruby27-2.7.6,1 is vulnerable: Ruby -- Buffer overrun in String-to-Float conversion CVE: CVE-2022-28739 WWW: https://vuxml.FreeBSD.org/freebsd/06ed6a49-bad4-11ec-9cfe-0800270512f4.html ну и обновление ставить отказался, что естественно, а я не вижу смысла его заставлять. До сих пор все хорошо. За исключением того, что на первой машине стоит ruby-2.7.6,1 и pkg audit -F на него не ругается. Да, разные архитектуры. Но в инфе по vulnurabilities ничего о архитектурах не сказано. Почему? -- Taras Heichenko ta...@academ.kiev.ua ___ freebsd mailing list freebsd@uafug.org.ua http://mailman.uafug.org.ua/mailman/listinfo/freebsd