sprostowanie

pooh   2003-01-23 08:01:37 Mozilla/5.0 (Windows; U; Win98; en-US; rv:1.1) Gecko/20020826

Blad zostal opublikowany nie 22, ale 20 stycznia, i nie przez SuSE, a przez e-matters.de, i dotyczy nie cvs z SuSE tylko cvs samego w sobie (a zatem z wszystkich dystrybucji). http://online.securityfocus.com/archive/1/307670/2003-01-20/2003-01-26/0 Wasz news _sugeruje_, ze blad wystepuje tylko w SuSE, co nie jest prawda, oraz ze blad zostal wykryty przez SuSE, co tez nie jest prawda. Jak dla mnie, to news o dziurawym cvs nie ma nic wspolnego z SuSE - alerty o uaktualnieniu pakietow z cvs opublikowaly chyba wszystkie dystrybucje?

 

sprostowanie c.d.

pooh   2003-01-24 12:01:00 Mozilla/5.0 (Windows; U; Win98; en-US; rv:1.1) Gecko/20020826

Mysle, ze redaktorzy linux.pl powinni sie bardziej przykladac przy pisaniu newsow. Powyzszy news o dziurze w cvs jest w sumie bzdurny... 1. problem wcale nie polega na uzyskania dostepu do katalogow, problem polega na tym, ze user (nawet z dostepem read-only) moze podlozyc kod do wykonania na serwerze CVS ("execute arbitrary commands on the server with an anonymous read-only account") 2. problem dotyczy praktycznie wszystkich serwerow cvs, bo Update-prog i Checkin-prog nie moga byc wylaczone (bez grzebania w zrodlach)

 

Re: sprostowanie c.d.

A.B.   2003-01-24 05:01:40 Mozilla/5.0 Galeon/1.2.7 (X11; Linux i686; U;) Gecko/20021128

2003-01-24 12:01:00 A.B. napisał: > Mysle, ze redaktorzy linux.pl powinni sie bardziej przykladac przy pisaniu newsow. Powyzszy news > o dziurze w cvs jest w sumie bzdurny... > > 1. problem wcale nie polega na uzyskania dostepu do katalogow, problem polega na tym, ze user > (nawet z dostepem read-only) moze podlozyc kod do wykonania na serwerze CVS ("execute arbitrary > commands on the server with an anonymous read-only account") > > 2. problem dotyczy praktycznie wszystkich serwerow cvs, bo Update-prog i Checkin-prog nie moga > byc wylaczone (bez grzebania w zrodlach) > Hmm... tak, powinienem bardziej sprawdzać każdy news jaki dostaniemy... myślę, że na przyszłość newsy będą bardziej solidne (chociaż nie zawsze jest czas, żeby każdą informację dokładnie przeanalizować... niestety). pozdrawiam A.B.

 

Re: sprostowanie c.d.

benzino   2003-01-24 09:01:34 Mozilla/5.0 Galeon/1.2.5 (X11; Linux i686; U;) Gecko/0

2003-01-24 12:01:00 benzino napisał: > Mysle, ze redaktorzy linux.pl powinni sie bardziej przykladac przy pisaniu newsow. Powyzszy news > o dziurze w cvs jest w sumie bzdurny... > > 1. problem wcale nie polega na uzyskania dostepu do katalogow, problem polega na tym, ze user > (nawet z dostepem read-only) moze podlozyc kod do wykonania na serwerze CVS ("execute arbitrary > commands on the server with an anonymous read-only account") > > 2. problem dotyczy praktycznie wszystkich serwerow cvs, bo Update-prog i Checkin-prog nie moga > byc wylaczone (bez grzebania w zrodlach) > Chyle oczywiscie czoła przed czujnością kolegi. Oczywiscie nie miałem ochoty sugerować że dotyczy to TYLKO SuSE. Kolega pooh ma rację i dotyczy to wszystkich dystrybucji (sam wczoraj przy upgrade woodego pakiet cvs z poprawka byl dostepny do sciagniecia). "Niedbalość" wynika z tego ze zasugerowalem sie informacjami z SuSE. Obiecuje ze nastepnym razem zanim wysle "niusa" precyzyjniej przygotuje jego tresc.