El 28/10/06, Carlos E. R. escribió:
Si, pero. La versión oficial del KDE, la que recibirá los parches de seguridad, si los hay, sigue siendo la que vino en los discos. Hay repositorios en los que puedes ir actualizando KDE a versiones más nuevas, ¡pero! sin soporte.
Sí, lo sé. Entiendo que hay paquetes creados por los usuarios (Packman, por ejemplo) que no tiene por qué actualizar ni aún cuando se descubra una nueva vulnerabilidad porque son paquetes "ajenos" a los oficiales, eso lo veo normal.
Y tampoco hacen eso: lo que hacen es parchear la versión original. En contados casos actualizan el paquete - por ejemplo, con el mozilla suelen actualizar al tiempo, porque debe ser muy complejo de parchear.
Creo que la versión de phpMyAdmin que tengo es vulnerable a ese exploit aún con todos los parches disponibles instalados. No lo puedo asegurar porque no sé cómo se verifica el fallo, pero me parece que sí.
Pero oye, puedes perfectamente ir a la lista de seguridad y preguntar que que es lo que pasa con el problema de seguridad tal y cual del phpMyAdmin, y que cuando rayos van a sacar el parche - y suelen contestar.
No se trata sólo de phpMyAdmin "en particular", se trata de todos los paquetes y de esa política de "dos años de actualizaciones de seguridad" que me parece confusa si existiendo peligro de ejecución de código remoto vía phpMyAdmin no lo actualizan / parchean o sencillamente, si no quieren mantener ese paquete, que lo eliminen de la distribución y listo.
My sospecha es que deben estar pillados con las betas de la 10.2 y le dedican menos tiempo - o que todo el mundo sabe que el phpMyAdmin es peligroso y que no se debe abrir al exterior. No se.
Si piensan que phpMyAdmin es peligroso, que no lo incluyan, que lo quiten. Si yo lo he instalado era precisamente porque SuSE lo ofrecía y pensaba que estaría actualizado o que en caso de bug lo arreglan. Y eso de no abrirlo al exterior, pues me dirás entonces para qué quieres phpMyAdmin en un servidor ;-). La idea es permitir a los usuarios de forma remota la gestión de sus bases de datos. Saludos, -- Camaleón