# [beantwortet] Frage zu GLSA und Versionen

## hank2000

Moin,

Aufruf: 

```
glsa-check -tv all
```

 bringt unter anderem:

```
201312-03 [N] [remote  ] OpenSSL: Multiple Vulnerabilities ( dev-libs/openssl-0.9.8z_p1-r1 dev-libs/openssl-1.0.1h-r1 )

```

im Detail (Auszug):

```
# glsa-check -d 201312-03

             GLSA 201312-03: 

OpenSSL: Multiple Vulnerabilities             

============================================================================

Synopsis:          Multiple vulnerabilities have been found in OpenSSL

                   allowing remote attackers to determine private keys or

                   cause a Denial of Service.

Announced on:      December 03, 2013

Last revised on:   December 03, 2013 : 02

Affected package:  dev-libs/openssl

Affected archs:    All

Vulnerable:        <1.0.0j<0.9.8y

Unaffected:        >=~1.0.0j>=~0.9.8y

....

```

Nun bin ich aber der Meinung daß hier schon 'unaffected' installiert ist:

```
# eix dev-libs/openssl

[I] dev-libs/openssl

     Available versions:  

     (0.9.8) 0.9.8y ~0.9.8y-r1 0.9.8z_p1-r1 ~0.9.8z_p1-r2

     (0)    [M]1.0.0j 1.0.0m 1.0.1g ~1.0.1g-r1 1.0.1h-r1 ~1.0.1h-r2 **1.0.2_beta1-r2 **1.0.2_beta1-r3

       {bindist gmp kerberos rfc3779 sse2 static-libs test +tls-heartbeat vanilla zlib ABI_MIPS="n32 n64 o32" ABI_PPC="32 64" ABI_S390="32 64" ABI_X86="32 64 x32"}

     Installed versions:  0.9.8z_p1-r1(0.9.8)(18:56:11 06/24/14)(sse2 zlib -bindist -gmp -kerberos -test) 1.0.1h-r1(09:51:09 06/06/14)(sse2 tls-heartbeat zlib -bindist -gmp -kerberos -rfc3779 -static-libs -test -vanilla)

     Homepage:            http://www.openssl.org/

     Description:         full-strength general purpose cryptography library (including SSL and TLS)

```

Oder ist 0.9.8z_p1-r1>=~0.9.8y falsch?

Danke für einen hilfreichen Hinweis.

Grüße

HLast edited by hank2000 on Sat Jul 05, 2014 6:43 pm; edited 1 time in total

----------

## ChrisJumper

Hi hank2000,

Ja das schaut so aus als seit du auf der sicheren Seite. Ich denke das GLSA Skript hat ein Problem mit 0.9.8... und dem 1.0.0.j. Also für das glsa-check skript ist wohl 0.9.8z kleiner als 1.0.0.j.

Bei mir habe ich 0.9.8 aber komplett deinstalliert. Muss gestehen das ich da aber keine Produktiv-System im Einsatz habe. Bisher hat sich noch kein Programm beschwert.

Servus

Chris

----------

## hank2000

Servus Chris,

Danke für Deine Antwort. Zumindest liege ich nicht ganz falsch mit meiner Vermutung dass hier evtl. ein Skriptfehler vorliegt.

Aber ganz kann ich die Ansicht bzgl. des 1-er Vergleichs (noch) nicht teilen. Der glsa taucht erst auf, nachdem von openssl-0.9.8y auf openssl-0.9.8z_p1-r1 aktualisiert wurde. Ich denk es geht nicht um die 1-er Schiene, sondern eher um die 0.9.8-er Schiene. Mal sehen ...

Ich habe nun dazu unter #516422 einen Bugreport eingestellt.

Grüße und schönes WE

Heinrich

----------

## hank2000

So, Frage beantwortet. Es ist kein Fehler des Tools, mehr eine Unschärfe im Format. Das aktuelle GLSA-Format unterstützt keine Slots. Gibt es neuere untere Slots, müssten diese manuell ins glsa eingepflegt werden. Es wird offenbar an einer Lösung gearbeitet.

Damit ist es für mich aber halbwegs hinreichend beantwortet.

Ich werde die betroffenen glsa wohl ins /var/lib/portage/glsa_injected eintragen.

----------

## hank2000

Nachtrag:

Heute fällt mir auf, daß der o.g. GLSA und andere (201110-01, 201203-12, 201312-03, 201404-07) mit dem Aufruf 

```
glsa-check -tv all
```

 nicht mehr im Ergebnis ausgegeben werden.

Spannend ......

Das Format scheint ein update erfahren zu haben. Wo kann das nachvollzogen werden?

Grüße

----------

## hank2000

Guten Morgen,

heute gibt's wieder so einen Fall:

Sicherheitshinweis:

```
# glsa-check -tv affected                                             This system is affected by the following GLSAs:

201402-02 [N] [local   ] NVIDIA Drivers: Privilege Escalation ( x11-drivers/nvidia-drivers-304.123 )

```

was ist aktuell installiert:

```
# eix x11-drivers/nvidia-drivers

[I] x11-drivers/nvidia-drivers

     Available versions:  1.0.8776-r1^s[1] 96.43.23^msd 173.14.39^msd 304.123^msd [m]331.89^msd [m]334.21-r3^msd [m]337.25^msd [m]340.24^msd {+X acpi custom-cflags gtk multilib pax_kernel (+)tools uvm KERNEL="FreeBSD linux"}

     Installed versions:  304.123^msd(11:31:49 07/21/14)(X multilib tools -acpi -pax_kernel KERNEL="linux -FreeBSD")

     Homepage:            http://www.nvidia.com/

     Description:         NVIDIA Accelerated Graphics Driver

```

und das glsa sieht etwa folgendermaßen aus:

```
           GLSA 201402-02: 

NVIDIA Drivers: Privilege Escalation            

============================================================================

Synopsis:          A NVIDIA drivers bug allows unprivileged user-mode

                   software to access the GPU inappropriately, allowing for

                   privilege escalation.

Announced on:      February 02, 2014

Last revised on:   March 13, 2014 : 03

Affected package:  x11-drivers/nvidia-drivers

Affected archs:    All

Vulnerable:        <331.20

Unaffected:        >=331.20>=~319.76>=~304.116>=~304.119>=~304.121

Related bugs:      493448

Background:        The NVIDIA drivers provide X11 and GLX support for NVIDIA

                   graphic boards.

                   

Description:       The vulnerability is caused due to the driver allowing

                   unprivileged user-mode software to access the GPU.

                   

Impact:            A local attacker could gain escalated privileges.

                   

Workaround:        There is no known workaround at this time.

                   

Resolution:        All NVIDIA Drivers users using the 331 branch should

                   upgrade to the latest version:

                   # emerge --sync

                   # emerge --ask --oneshot --verbose

                   ">=x11-drivers/nvidia-drivers-331.20"

                   

                   All NVIDIA Drivers users using the 319 branch should

                   upgrade to the latest version:

                   # emerge --sync

                   # emerge --ask --oneshot --verbose

                   ">=x11-drivers/nvidia-drivers-319.76"

                   

                   All NVIDIA Drivers users using the 304 branch should

                   upgrade to the latest version:

                   # emerge --sync

                   # emerge --ask --oneshot --verbose

                   ">=x11-drivers/nvidia-drivers-304.116"

                   

                   

References:       

                   CVE-2013-5986: http://nvd.nist.gov/nvd.cfm?cvename=CVE-2013-5986

                   

                   CVE-2013-5987: http://nvd.nist.gov/nvd.cfm?cvename=CVE-2013-5987

```

Es bleibt spannend....

----------

