Ciao a tutti, leggendo qua[¹] sembra che ci sia una vulnerabilità per thunderbird 78.x che è proprio la versione presente in debian stable.
Qualcuno sa come debian pensa di affrontare la cosa essendoci in stable (bullseye) proprio tale versione?
Piviul
[¹] https://www.omgubuntu.co.uk/2021/11/thunderbird-91-backport-ubuntu-18-04-20-04-lts
Il 16/11/21 09:28, Piviul ha scritto:
Ciao a tutti, leggendo qua[¹] sembra che ci sia una vulnerabilità perciao,
thunderbird 78.x che è proprio la versione presente in debian stable.
Qualcuno sa come debian pensa di affrontare la cosa essendoci in
stable (bullseye) proprio tale versione?
Piviul
[¹]
https://www.omgubuntu.co.uk/2021/11/thunderbird-91-backport-ubuntu-18-04-20-04-lts
forse questo:
https://tracker.debian.org/pkg/thunderbird
può dirti qualcosa, sembra che stiano testando la 91...
Il 16/11/21 12:01, valerio ha scritto:
https://tracker.debian.org/pkg/thunderbird
può dirti qualcosa, sembra che stiano testando la 91...
per portarla in unstable... io sto parlando di stable; non è strano che
nel mondo debian non se ne parli proprio? A me sembra un fake: se si va
nel "national vulnerability database" dice "CVE ID Not Found"[¹]. La
descrizione della vulnerabilità[²] dice essere riservata così non si può sapere di cosa si tratta... aspettiamo e vediamo ma se qualcuno ne
sapesse qualcosa...
Grazie
Piviul
[¹] https://nvd.nist.gov/vuln/detail/CVE-2021-38503
[²] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38503
[...]In effetti qua[¹] si vedono una decina di CVE di thunderbird senza patch
descrizione della vulnerabilità[²] dice essere riservata così non si
può sapere di cosa si tratta... aspettiamo e vediamo ma se qualcuno
ne sapesse qualcosa...
anch'io sono curioso...
Pensavo fosse un fake perché temevo che fosse un modo per sponsorizzare pratiche alla windows maniera cosa a cui mi sembra ubuntu si stia adeguando dove si è soliti aggiornare all'ultima versione un programma invece di
creare ed installare una patch per la versione corrente senza pensare che magari facendo l'aggiornamento di versione sicuramente si risolve il baco ma si potrebbe introdurne altri non ancora scoperti ma più importanti...
[...]Perché pensi sia un fake? E' normale che vulnerabilità importanti vengano sottoposte ad un periodo di embargo prima di rendere pubblici
i dettagli per dare a tutti la possibilità di creare ed applicare le correzioni necessarie.
[1] https://security-tracker.debian.org/tracker/CVE-2021-38503
[...]
Quindi è da anni che per quei pacchetti (e altri) semplicemente si
prende qualsiasi cosa rilasci upstream.
Il 17/11/21 14:58, Mattia Rizzolo ha scritto:
[...]
Quindi è da anni che per quei pacchetti (e altri) semplicemente si
prende qualsiasi cosa rilasci upstream.
Quindi normalmente debian che fa? Aggiorna le versioni di TB e FF anche
in stable? ...me ne rendo conto solo ora 😮
A me sembra un fake: se si va
nel "national vulnerability database" dice "CVE ID Not Found"[¹]. La descrizione della vulnerabilità[²] dice essere riservata così non si può sapere di cosa si tratta...
[¹] https://nvd.nist.gov/vuln/detail/CVE-2021-38503
[²] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-38503
Il 21/11/2021 08:19, Davide Prina ha scritto:
Ad esempio è stata scoperta recentemente una vulnerabilità sui
sorgenti di quasi tutti i linguaggi di programmazione e, almeno
l'ultima volta che avevo letto, non c'erano i dettagli per capire cosa
effettivamente fosse e mi sembra che avevano dato 70 giorni a tutti
per sistemare il problema prima di rendere totalmente pubblica la
vulnerabilità .
Però, IMVHO, non è una vulnerabilità del compilatore.
Il 21/11/21 08:19, Davide Prina ha scritto:
Ad esempio è stata scoperta recentemente una vulnerabilità sui
sorgenti di quasi tutti i linguaggi di programmazione e, almeno
l'ultima volta che avevo letto, non c'erano i dettagli per capire cosa
effettivamente fosse e mi sembra che avevano dato 70 giorni a tutti
per sistemare il problema prima di rendere totalmente pubblica la
vulnerabilità .
Mi incuriosisci! Di cosa si trattava?
Sysop: | Keyop |
---|---|
Location: | Huddersfield, West Yorkshire, UK |
Users: | 285 |
Nodes: | 16 (2 / 14) |
Uptime: | 75:48:18 |
Calls: | 6,489 |
Calls today: | 2 |
Files: | 12,096 |
Messages: | 5,276,201 |