Bug 24976 - update to 3.51+
Summary: update to 3.51+
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: perl-CGI (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: viy
QA Contact: qa-sisyphus
URL: http://www.bugzilla.org/releases/3.6....
Keywords: security
Depends on:
Blocks:
 
Reported: 2011-01-25 19:48 MSK by Michael Shigorin
Modified: 2012-10-06 11:08 MSK (History)
10 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Michael Shigorin 2011-01-25 19:48:46 MSK
Необходимо обновить (также доступен 3.52):

+        # 3.51 fixes a security problem that affects Bugzilla.
+        # (bug 591165)
+        version => '3.51',

http://search.cpan.org/~markstos/CGI.pm-3.51/
Comment 1 Michael Shigorin 2011-01-25 20:10:53 MSK
Пушнул perl-CGI.git с подготовленными 3.50 и 3.51 в бранче cpan, при мерже в master вылезли конфликты:

Auto-merging MANIFEST
Removing cgi-lib_porting.html
Auto-merging lib/CGI.pm
CONFLICT (content): Merge conflict in lib/CGI.pm
Auto-merging lib/CGI/Carp.pm
Auto-merging lib/CGI/Cookie.pm
CONFLICT (content): Merge conflict in lib/CGI/Cookie.pm
Auto-merging lib/CGI/Pretty.pm
Automatic merge failed; fix conflicts and then commit the result.

Одно про временные файлы (разъехались реализации), второе -- про require Apache2::RequestUtil; (аналогично).  Сам решать в пользу cpan не решился.

http://git.altlinux.org/people/mike/packages/?p=perl-CGI.git;a=shortlog;h=refs/heads/cpan
Comment 2 at@altlinux.org 2011-01-25 20:18:14 MSK
У нас perl-CGI уже исправлен.
Comment 3 Michael Shigorin 2011-01-25 20:33:31 MSK
Спасибо; своей багзиле-то объясню, но и 3.52 на дворе всё же, и форк выходит.
Comment 4 at@altlinux.org 2011-01-25 20:40:59 MSK
В перле 5.12.3 такой же исправленный  CGI как у нас собранный отдельно.  Потому что типа CGI считатается частью perl core или perl standard library.  Хотя по отдельности обновлять вроде бы тоже можно.

Мо-моему, если кто-то требует версию CGI больше 3.49, то он не учитывает, что в perl 5.12.3 исправленный CGI имеет версию 3.49.  Вообще это порочная практика - указывать минимальную требуемую версию зависимосити, исходя из CVE.  Помнится у нас одно время был старый ssh, но хорошо пропатченный.  И вот много жалоб былао, что весрия не канает...
Comment 5 Michael Shigorin 2011-01-25 21:09:27 MSK
Лёш, я-то потому и привёл кусок bugzilla-3.6.4/Bugzilla/Install/Requirements.pm -- сперва сходил в CPAN и посмотрел на отдельные CGI.pm-3.49 и CGI.pm-3.50.
Comment 6 Vladimir Lettiev 2012-10-06 11:08:16 MSK
Закрываю