| Summary: | [CVE 21] ceph 15.2.7 CVEs found | ||
|---|---|---|---|
| Product: | [ROSA-based products] ROSA Fresh | Reporter: | Yury <y.tumanov> |
| Component: | System (kernel, glibc, systemd, bash, PAM...) | Assignee: | ROSA Linux Bugs <bugs> |
| Status: | VERIFIED FIXED | QA Contact: | ROSA Linux Bugs <bugs> |
| Severity: | blocker | ||
| Priority: | Highest | CC: | a.proklov, e.kosachev, m.novosyolov, pastordidi, s.matveev, temap, v.potapov, y.tumanov |
| Version: | All | Flags: | v.potapov:
qa_verified+
y.tumanov: secteam_verified+ a.proklov: published+ |
| Target Milestone: | --- | ||
| Hardware: | All | ||
| OS: | Linux | ||
| URL: | CVE-2020-25678, CVE-2020-27781, CVE-2020-27839, CVE-2022-0670, | ||
| Whiteboard: | |||
| Platform: | 2021.1 | ROSA Vulnerability identifier: | |
| RPM Package: | ISO-related: | ||
| Bad POT generating: | Upstream: | ||
|
Description
Yury
2023-10-18 20:24:31 MSK
*** Bug 13694 has been marked as a duplicate of this bug. *** *** Bug 13502 has been marked as a duplicate of this bug. *** Уязвимости закрыты обновлением. ceph-15.2.17-1 https://abf.io/build_lists/4760428 (x64) https://abf.io/build_lists/4760416 ***************************** Обновление отослано в Тестинг Проблема 1: package lib64rgw_admin_user1-15.2.7-3.x86_64 requires lib64rgw2 = 15.2.7-3, but none of the providers can be installed
- cannot install both lib64rgw2-15.2.17-1.x86_64 and lib64rgw2-15.2.7-3.x86_64
- cannot install both lib64rgw2-15.2.7-3.x86_64 and lib64rgw2-15.2.17-1.x86_64
- cannot install the best update candidate for package lib64rgw_admin_user1-15.2.7-3.x86_64
- cannot install the best update candidate for package lib64rgw2-15.2.7-3.x86_64
Проблема 2: problem with installed package lib64rgw_admin_user1-15.2.7-3.x86_64
- package lib64rgw_admin_user1-15.2.7-3.x86_64 requires lib64rgw2 = 15.2.7-3, but none of the providers can be installed
- cannot install both lib64rgw2-15.2.17-1.x86_64 and lib64rgw2-15.2.7-3.x86_64
- cannot install both lib64rgw2-15.2.7-3.x86_64 and lib64rgw2-15.2.17-1.x86_64
- package ceph-base-15.2.17-1.x86_64 requires lib64rgw2 = 15.2.17-1, but none of the providers can be installed
- cannot install the best update candidate for package ceph-base-15.2.7-3.x86_64
(попробуйте добавить в командную строку «--allowerasing» для замены конфликтующих пакетов или «--skip-broken» для пропуска удаляемых пакетов или «--nobest», чтобы использовать не только наилучшие варианты пакетов)
Видимо, нужно прописать "Obsoletes: %{_lib}rgw_admin_user1 < 15.2.17" в {librgw}
Проблема от того, похоже, что %{librgw_admin_user} и %{librgw} друг от друга зацикленно зависят.
ceph-15.2.17-1 - вставил Obsolete https://abf.io/build_lists/4765067 https://abf.io/build_lists/4765068 ceph-15.2.17-2 т.е. релиз ***************************** Обновление отослано в Тестинг Разве https://nvd.nist.gov/vuln/detail/CVE-2020-25678 закрывается этим обновлением? Там вроде только патч? патч включен в новую версию за 3 года-то. да и нету там пача конкретного, я не вижу. (In reply to Aleksandr Proklov from comment #11) > патч включен в новую версию за 3 года-то. да и нету там пача конкретного, я > не вижу. Ага, нашел что исправлено в 15.2.9 https://bodhi.fedoraproject.org/updates/FEDORA-2021-93ff9e9103 ceph-15.2.17-2 https://abf.io/build_lists/4765067 https://abf.io/build_lists/4765068 ************************* Advisory *********************** CVE-2020-25678, CVE-2020-27781, CVE-2020-27839, CVE-2022-0670 fix ********************************************************** QA Verified secteam_verified |