Неактуальные уязвимости: различия между версиями
Нет описания правки |
Sem (обсуждение | вклад) Нет описания правки |
||
(не показано 15 промежуточных версий 4 участников) | |||
Строка 6: | Строка 6: | ||
;bash :CVE-2017-5932, CVE-2016-9401 неактуально для bash3 | ;bash :CVE-2017-5932, CVE-2016-9401 неактуально для bash3 | ||
;dnsmasq : c7 : CVE-2017-13704, CVE-2017-14495, CVE-2017-14496 не актуальны для версии 2.72. | |||
;ed :CVE-2006-6939 давно исправлена ed-0.2-alt-tmp.patch | ;ed :CVE-2006-6939 давно исправлена ed-0.2-alt-tmp.patch | ||
Строка 13: | Строка 15: | ||
;expat :CVE-2013-0340 эта "уязвимость" является неотъемлимой частью функциональности библиотеки. Библиотека позволяет написать уязвимое ПО, но мало про какую библиотеку можно сказать обратное | ;expat :CVE-2013-0340 эта "уязвимость" является неотъемлимой частью функциональности библиотеки. Библиотека позволяет написать уязвимое ПО, но мало про какую библиотеку можно сказать обратное | ||
; glib: CVE-2012-0039 existence of the g_str_hash function is not a vulnerability in the library, because callers of g_hash_table_new and g_hash_table_new_full can specify an arbitrary hash function that is appropriate for the application. | |||
; grub2 : Ср дек 02 2015 Michael Shigorin <mike@altlinux.org> 2.00-alt21 | |||
CVE-2015-8370: those who have set up GRUB passwords MUST | |||
upgrade or find their use of this "protection" inefficient: | |||
; gnash : CVE-2012-1175 Коммит bb4dc77eecb6ed1b967e3ecbce3dac6c5e6f1527 исправляющий эту ошибку входит в нашу сборку gnash | |||
;iptables : CVE-2012-2663 current linux kernel just drops this kind of message (SYN+FIN) | |||
;jetty: CVE-2016-4800 уязвимость проявляется только на windows | |||
CVE-2015-2080 версия 9.3.0, находящаяся в c8 не уязвима | |||
;jsch : CVE-2016-5725 уязвимость проявляется только на windows | |||
;libcroco : CVE-2017-7961 This is not a security issue. The conversion surely is truncating the double into a long value, but there is no impact as the value is one of the RGB components. | |||
; libpng : CVE-2016-10087 приложение может быть написано так, чтоб вызывать NULL pointer dereference в библиотеке. Никаких способов использовать это для нарушения целостности или конфиденциальности не проссматривается. | |||
; libunwind : CVE-2015-3239 исправлена ещё в 1.1-alt2 Mon Sep 14 01:11:29 2015 | |||
;selinux :CVE-2016-7545 Проблема специфична для пакета RH, у нас другие selinux аттрибуты | ;selinux :CVE-2016-7545 Проблема специфична для пакета RH, у нас другие selinux аттрибуты | ||
Строка 19: | Строка 43: | ||
;openntpd :CVE-2016-5117 В openntpd 3.9p1 нет такого функционала. | ;openntpd :CVE-2016-5117 В openntpd 3.9p1 нет такого функционала. | ||
;openldap : CVE-2017-14159 уязвимость неактуальна при использовании systemd | |||
;glibc >= 2.23-alt2: CVE-2016-3075 CVE-2016-5417 Исправлено коммитами 146b58d11fddbef15b888906e3be4f33900c416f 317da342ba4417c30d985f5593d78bb1364a62c3 | |||
;x265 : CVE-2017-13666 возможность какой-либо эксплуатации этой проблемы пока не продемонстрирована и вряд ли будет продемонстрирована в будущем | |||
;libssh2: указана всего одна уязвимость - CVE-2015-1782; в 1.4.3-alt2 - CVE-2015-1782 fixed |
Текущая версия от 17:43, 10 октября 2017
Регулярно встречается ситуация, когда та или иная уязвимость в системах ALT не является актуальной, так как закрыта каким-то hardening или какая-то функциональность отключена и тому подобное. Эта страница создана для обобщения информации о таких ситуациях.
- arpwatch
- CVE-2012-2653 неактуальна, в связи с дополнительным патчем сброса привилегий
- bash
- CVE-2017-5932, CVE-2016-9401 неактуально для bash3
- dnsmasq
- c7 : CVE-2017-13704, CVE-2017-14495, CVE-2017-14496 не актуальны для версии 2.72.
- ed
- CVE-2006-6939 давно исправлена ed-0.2-alt-tmp.patch
CVE-2008-3916 исправлено в 1:0.2-alt7
- elinks
- CVE-2012-4545 0.12 на самом деле новее, чем 0.12pre6
- expat
- CVE-2013-0340 эта "уязвимость" является неотъемлимой частью функциональности библиотеки. Библиотека позволяет написать уязвимое ПО, но мало про какую библиотеку можно сказать обратное
- glib
- CVE-2012-0039 existence of the g_str_hash function is not a vulnerability in the library, because callers of g_hash_table_new and g_hash_table_new_full can specify an arbitrary hash function that is appropriate for the application.
- grub2
- Ср дек 02 2015 Michael Shigorin <mike@altlinux.org> 2.00-alt21
CVE-2015-8370: those who have set up GRUB passwords MUST upgrade or find their use of this "protection" inefficient:
- gnash
- CVE-2012-1175 Коммит bb4dc77eecb6ed1b967e3ecbce3dac6c5e6f1527 исправляющий эту ошибку входит в нашу сборку gnash
- iptables
- CVE-2012-2663 current linux kernel just drops this kind of message (SYN+FIN)
- jetty
- CVE-2016-4800 уязвимость проявляется только на windows
CVE-2015-2080 версия 9.3.0, находящаяся в c8 не уязвима
- jsch
- CVE-2016-5725 уязвимость проявляется только на windows
- libcroco
- CVE-2017-7961 This is not a security issue. The conversion surely is truncating the double into a long value, but there is no impact as the value is one of the RGB components.
- libpng
- CVE-2016-10087 приложение может быть написано так, чтоб вызывать NULL pointer dereference в библиотеке. Никаких способов использовать это для нарушения целостности или конфиденциальности не проссматривается.
- libunwind
- CVE-2015-3239 исправлена ещё в 1.1-alt2 Mon Sep 14 01:11:29 2015
- selinux
- CVE-2016-7545 Проблема специфична для пакета RH, у нас другие selinux аттрибуты
на /etc/passwd и не запускается при установке пакета такой скрипт, как в RH
- openntpd
- CVE-2016-5117 В openntpd 3.9p1 нет такого функционала.
- openldap
- CVE-2017-14159 уязвимость неактуальна при использовании systemd
- glibc >= 2.23-alt2
- CVE-2016-3075 CVE-2016-5417 Исправлено коммитами 146b58d11fddbef15b888906e3be4f33900c416f 317da342ba4417c30d985f5593d78bb1364a62c3
- x265
- CVE-2017-13666 возможность какой-либо эксплуатации этой проблемы пока не продемонстрирована и вряд ли будет продемонстрирована в будущем
- libssh2
- указана всего одна уязвимость - CVE-2015-1782; в 1.4.3-alt2 - CVE-2015-1782 fixed