Bug 13482

Summary: Remote code execution
Product: Branch 4.0 Reporter: Vitaly Kuznetsov <vitty>
Component: clamavAssignee: Victor Forsyuk <force>
Status: CLOSED FIXED QA Contact: Q.A. 4.0 <qa-4.0>
Severity: blocker    
Priority: P2 CC: ldv, vvk
Version: 4.0   
Hardware: all   
OS: Linux   
URL: http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-6029
Bug Depends on:    
Bug Blocks: 14167    

Description Vitaly Kuznetsov 2007-11-21 09:57:20 MSK
Серьёзная ошибка в безопасности, насколько я понимаю надо фиксить срочно.
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-6029
Comment 1 Victor Forsyuk 2007-11-21 15:39:37 MSK
Каким образом Вы предлагаете фиксить, если о сути уязвимости не знает никто
кроме тех, кто ее обнаружил?
Comment 2 Vitaly Kuznetsov 2007-11-21 15:44:42 MSK
(In reply to comment #1)
> Каким образом Вы предлагаете фиксить, если о сути уязвимости не знает никто
> кроме тех, кто ее обнаружил?

Вам апстрим ближе, возможно что-то обсуждается?
И ещё - уязвимы версии 0.91, про уязвимость 0.92rc ничего не сказано. Может
стоит перейти на неё в бранче?
Comment 3 Victor Forsyuk 2007-11-21 16:05:03 MSK
(In reply to comment #2)
> (In reply to comment #1)
> > Каким образом Вы предлагаете фиксить, если о сути уязвимости не знает никто
> > кроме тех, кто ее обнаружил?
> 
> Вам апстрим ближе, возможно что-то обсуждается?

Обсуждается. :)

> И ещё - уязвимы версии 0.91, про уязвимость 0.92rc ничего не сказано.

Из того, что ничего не сказано не следует, что эта версия не является уязвимой.
Эксперты, которые выставили информацию об этой уязвимости на аукцион, всего лишь
написали, что они проверили уязвимость на 0.91.1, а затем 0.91.2.

> Может стоит перейти на неё в бранче?

Не вижу смысла - нет гарантий что это устранит уязвимость. Я собирался
перекладывать в бранч релиз, а не релиз-кандидат. Естественно, security-апдейт в
бранч пойдет...
Comment 4 Dmitry V. Levin 2008-01-26 01:57:20 MSK
В Sisyphus clamav-0.92-alt1,
в 4.0/branch clamav-0.91.2-alt1
Comment 5 Vladimir V. Kamarzin 2008-01-31 09:29:37 MSK
Ну и где? force, ау
Comment 6 Victor Forsyuk 2008-01-31 18:12:26 MSK
(In reply to comment #5)
> Ну и где? force, ау
Формальное требование о переносе из сизифа повешено в багзилу.
Comment 7 Victor Forsyuk 2008-05-23 19:27:18 MSD
Закрываю баг, fixed.