On Sun, Aug 07, 2016 at 04:32:39PM +0300, Oleg V. Nauman wrote:

On Sunday 07 August 2016 11:53:01 Aliv Cherevko wrote:

...

Друзья,

Прошу прощения за, похоже, тупой и идиотский вопрос, но гугление не принесло требуемого ответа. Подскажите, пожалуйста, куда копать:

pkg audit -F возвращает вот такое:

vulnxml file up-to-date perl5-5.20.3_13 is vulnerable: perl -- local arbitrary code execution CVE: CVE-2016-1238 WWW: https://vuxml.FreeBSD.org/freebsd/72bfbb09-5a6a-11e6-a6c3-14dae9d210b8.html

perl5-5.20.3_13 is vulnerable: p5-XSLoader -- local arbitrary code execution CVE: CVE-2016-6185 WWW: https://vuxml.FreeBSD.org/freebsd/3e08047f-5a6c-11e6-a6c3-14dae9d210b8.html

1 problem(s) in the installed packages found. Чё-то это вроде 2 проблемы

...

При этом portmaster -L и, как ранее успешно portmaster -a, в данном случае не дает результата:

===>>> 53 total installed ports ===>>> There are no new versions available

Нет фикса от автора, похоже. Вот пока в репозитории обновления и нет.

В конце концов - если у тебя нет локальных юзеров, то уязвимость может к тебе и не применима. Так же, как и апгрейд на другую версию может "всё" сломать. -- Best regards, Paul Arakelyan.

Привет, Спасибо за ответы.

...

Что я делаю не так?

Наличие уязвимости не означает наличия его фикса.

Это я понимаю, просто почему то представлял себе, что публикация информации о vulnerability должна производиться после того, как уже будет фикс. Судя по всему vulnerability нашли 21 июля и публикация произошла ровно через 2 недели, а фикса все нет. Perl, вроде, не такая уже редко используемая вещь :) VuXML ID 72bfbb09-5a6a-11e6-a6c3-14dae9d210b8 Discovery 2016-07-21 Entry 2016-08-04 Modified 2016-08-05

...

И кстати, попутно, если несложно - ткните, плиз, на удачную инструкцию, как это все вообще автоматизировать, чтобы вручную не следить.

Что именно автоматизировать? Обновление портов? Отслеживание наличия уязвимостей? Первое - к portupgrade/portmaster/pkg. Второе - к, например, security/vxquery или etc/periodic/security/410.pkg- audit

Да, вопрос был об автоматическом отслеживании уязвимостей и, соответственно, об автоматическом обновлении портов. Спасибо - посмотрю. С уважением, Александр

On Monday 08 August 2016 00:14:38 Aliv Cherevko wrote:

Привет,

Спасибо за ответы.

...

...

Что я делаю не так?

Наличие уязвимости не означает наличия его фикса.

Это я понимаю, просто почему то представлял себе, что публикация информации о vulnerability должна производиться после того, как уже будет фикс. Судя по всему vulnerability нашли 21 июля и публикация произошла ровно через 2 недели, а фикса все нет. Perl, вроде, не такая уже редко используемая вещь :)

Не столь давно поменялась политика публикации.

VuXML ID 72bfbb09-5a6a-11e6-a6c3-14dae9d210b8 Discovery 2016-07-21 Entry 2016-08-04 Modified 2016-08-05

...

...

И кстати, попутно, если несложно - ткните, плиз, на удачную инструкцию, как это все вообще автоматизировать, чтобы вручную не

следить.

Что именно автоматизировать? Обновление портов? Отслеживание наличия уязвимостей? Первое - к portupgrade/portmaster/pkg. Второе - к, например, security/vxquery или etc/periodic/security/410.pkg- audit

Да, вопрос был об автоматическом отслеживании уязвимостей и, соответственно, об автоматическом обновлении портов. Спасибо - посмотрю.

С уважением, Александр

-- Науман Олег

"Perl, вроде, не такая уже редко используемая вещь” - гм… это утверждение сильно спорное. Regards, Maksym

On 7 Aug 2016, at 23:14, Aliv Cherevko wrote:

Привет,

Спасибо за ответы.

...

...

Что я делаю не так?

Наличие уязвимости не означает наличия его фикса.

Это я понимаю, просто почему то представлял себе, что публикация информации о vulnerability должна производиться после того, как уже будет фикс. Судя по всему vulnerability нашли 21 июля и публикация произошла ровно через 2 недели, а фикса все нет. Perl, вроде, не такая уже редко используемая вещь :)

VuXML ID 72bfbb09-5a6a-11e6-a6c3-14dae9d210b8 Discovery 2016-07-21 Entry 2016-08-04 Modified 2016-08-05

...

...

И кстати, попутно, если несложно - ткните, плиз, на удачную инструкцию, как это все вообще автоматизировать, чтобы вручную не следить.

Что именно автоматизировать? Обновление портов? Отслеживание наличия уязвимостей? Первое - к portupgrade/portmaster/pkg. Второе - к, например, security/vxquery или etc/periodic/security/410.pkg- audit

Да, вопрос был об автоматическом отслеживании уязвимостей и, соответственно, об автоматическом обновлении портов. Спасибо - посмотрю.

С уважением, Александр

"Perl is not Dead, it is a Dead End" (C) Stevan Little Maksym

On 9 Aug 2016, at 09:00, Volodymyr Litovka wrote:

On 8/8/16 10:37 PM, Maksym Tulyuk wrote:

...

"Perl, вроде, не такая уже редко используемая вещь” - гм… это утверждение сильно спорное. Настолько же спорное, насколько спорной является попытка оспорить это утверждение :-)

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison