El 13/02/08, Camaleón
El 13/02/08, Juan Erbes escribió:
Esa versión del kernel 2.6.22.16-0.2 la habian sacado a ultimas horas del sabado, probablemente con splice/vmsplice desactivados, como solución provisoria.
¿Y ya has abierto un reporte en bugzilla, Juan? Porque si el kernel que tengo no es vulnerable y YOU me dice que lo tengo que actualizarlo, es un error y es preciso que abras un reporte exponiendo el caso.
Ayer apareció el kernel 2.6.22.17-0.1, lo habia actualizado, y sin embargo hoy salió el opensuse updater diciendo que tenia que actualizar el kernel, pero el unico cambio que vi fue en /lib/modules/2.6.22.17-0.1-default/, pero no tocó el kernel propiamente dicho (lo instalado bajo /boot). Tambien instalo otro parche del sistema base.
Todos estos datos debes ponerlos en el bugzilla, cuanto más detallado mejor.
Si crees que "Este hilo se está volviendo surrelista en exceso", te sugiero que revises mis mensajes en este topico desde el inicio, y despues saques tus conclusiones.
Las conclusiones relacionadas con el kernel se sacan en bugzilla, Juan.
Las conclusiones de porqué sigues pensando que esa versión del kernel no está afectada, pues sigo sin verlas.
El día 11/02/2008 comentabas:
*** 11/02/2008
(...)
Es probable que temporariamente hallan eliminado el modulo splice.o en el kernel 2.6.22.16-0.2 como solución de contingencia, hasta solucionar el bug y volver a incluirlo. ***
Cuando sacaron el kernel 2.6.22.16-0.2 no se había detectado "ese" bug* (CVE-2008-0600)... y salvo que tengan "poder adivinatorio" y se adelantaran en el tiempo, no veo motivos para quitar una funcionalidad del kernel que ya estaba incluida desde la 2.6.17, así como tampoco veo motivos para que, de ser así, no lo indiquen en el reporte de seguridad.
* http://lists.opensuse.org/opensuse-security-announce/2008-02/msg00002.html
Acaso no pueden detectarlo, sacar una solución provisoria, y recién anunciarlo? O están obligados a anunciarlo primero, y recién despues dar soluciones? Para que lo que tu dices sea válido, deberías haber puesto una referencia que corresponda a la primera detección de ese bug, de la cual aparecen referencias del 1 de febrero: https://bugzilla.redhat.com/show_bug.cgi?id=431206 De paso otro link mas, para reafirmar, todo lo que venía diciendo en el hilo, que la falla estaba en el archivo splice.c: http://isec.pl/vulnerabilities/isec-0026-vmsplice_to_kernel.txt Ya para el dia 8 de febrero estaba el parche para el bug citado: http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.24.1 Realmente, me tienen arto de tantas estupideces! Salu2 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org