[freebsd] port vulnurabilities

Taras Heichenko

unread,

Apr 22, 2022, 8:18:59 AM4/22/22

to Рассылка FreeBSD UA

Hi!
Столкнулся с какой-то странной фигней. Есть две машины с фрей:
12.3-RELEASE FreeBSD 12.3-RELEASE r371126 GENERIC amd64
и
12.3-STABLE stable/12-n235174-879a6b7b628 myconf i386

На обеих стоит ruby. На второй ruby-2.7.5,1 на которую pkg audit ругается
по поводу vulnurabilities. Хорошо, обновил дерево портов, запустил
portupgrade -R ruby-2.7.5,1
после чего он мне сказал
===> ruby27-2.7.6,1 has known vulnerabilities:
ruby27-2.7.6,1 is vulnerable:
Ruby -- Buffer overrun in String-to-Float conversion
CVE: CVE-2022-28739
WWW: https://vuxml.FreeBSD.org/freebsd/06ed6a49-bad4-11ec-9cfe-0800270512f4.html

ну и обновление ставить отказался, что естественно, а я не вижу смысла его заставлять. До
сих пор все хорошо. За исключением того, что на первой машине стоит
ruby-2.7.6,1
и pkg audit -F на него не ругается. Да, разные архитектуры. Но в инфе по vulnurabilities ничего
о архитектурах не сказано.

Почему?

--
Taras Heichenko
ta...@academ.kiev.ua

_______________________________________________
freebsd mailing list
fre...@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

Oleg V. Nauman

unread,

Apr 22, 2022, 8:32:30 AM4/22/22

to fre...@uafug.org.ua

On 2022 M04 22, Fri 15:18:36 EEST Taras Heichenko wrote:
> Hi!
> Столкнулся с какой-то странной фигней. Есть две машины с фрей:
> 12.3-RELEASE FreeBSD 12.3-RELEASE r371126 GENERIC amd64
> и
> 12.3-STABLE stable/12-n235174-879a6b7b628 myconf i386
>
> На обеих стоит ruby. На второй ruby-2.7.5,1 на которую pkg audit ругается
> по поводу vulnurabilities. Хорошо, обновил дерево портов, запустил
> portupgrade -R ruby-2.7.5,1
> после чего он мне сказал
> ===> ruby27-2.7.6,1 has known vulnerabilities:
> ruby27-2.7.6,1 is vulnerable:
> Ruby -- Buffer overrun in String-to-Float conversion
> CVE: CVE-2022-28739
> WWW:
> https://vuxml.FreeBSD.org/freebsd/06ed6a49-bad4-11ec-9cfe-0800270512f4.html

Если верить этой ссылке, то ruby и ruby27 - порты разные и имеют разные
диапазоны версий, подверженных этой проблеме с безопасностью.

[skip]

Taras Heichenko

unread,

Apr 22, 2022, 8:45:05 AM4/22/22

to Oleg V. Nauman, fre...@uafug.org.ua

> On 22 Apr 2022, at 15:32, Oleg V. Nauman <ol...@theweb.org.ua> wrote:
>
> On 2022 M04 22, Fri 15:18:36 EEST Taras Heichenko wrote:
>> Hi!
>> Столкнулся с какой-то странной фигней. Есть две машины с фрей:
>> 12.3-RELEASE FreeBSD 12.3-RELEASE r371126 GENERIC amd64
>> и
>> 12.3-STABLE stable/12-n235174-879a6b7b628 myconf i386
>>
>> На обеих стоит ruby. На второй ruby-2.7.5,1 на которую pkg audit ругается
>> по поводу vulnurabilities. Хорошо, обновил дерево портов, запустил
>> portupgrade -R ruby-2.7.5,1
>> после чего он мне сказал
>> ===> ruby27-2.7.6,1 has known vulnerabilities:
>> ruby27-2.7.6,1 is vulnerable:
>> Ruby -- Buffer overrun in String-to-Float conversion
>> CVE: CVE-2022-28739
>> WWW:
>> https://vuxml.FreeBSD.org/freebsd/06ed6a49-bad4-11ec-9cfe-0800270512f4.html
>
> Если верить этой ссылке, то ruby и ruby27 - порты разные и имеют разные
> диапазоны версий, подверженных этой проблеме с безопасностью.

pkg info говорит, что на обеих машинах ruby поставлен из порта lang/ruby27

Reply all

Reply to author

Forward