Bug 14200

Summary: libid3tag
Product: [ROSA-based products] ROSA Fresh Reporter: Vladimir Potapov <v.potapov>
Component: Packages from MainAssignee: ROSA Linux Bugs <bugs>
Status: VERIFIED FIXED QA Contact: ROSA Linux Bugs <bugs>
Severity: normal    
Priority: Normal CC: a.proklov, victorr2007
Version: AllFlags: v.potapov: qa_verified+
v.potapov: secteam_verified?
a.proklov: published+
Target Milestone: ---   
Hardware: All   
OS: Linux   
URL: CVE-2017-11550
Whiteboard:
Platform: --- ROSA Vulnerability identifier:
RPM Package: ISO-related:
Bad POT generating: Upstream:

Description Vladimir Potapov 2024-01-10 11:02:28 MSK 
https://nvd.nist.gov/vuln/detail/CVE-2017-11550 medium
Comment 1 Vladimir Potapov 2024-01-10 11:03:13 MSK 
в дебиан закрыт, есть патч
https://security-tracker.debian.org/tracker/CVE-2017-11550
Comment 2 Vladimir Potapov 2024-01-10 11:07:20 MSK 
https://nvd.nist.gov/vuln/detail/CVE-2017-11551 medium
Comment 3 VictorR2007 2024-01-11 09:28:36 MSK 
(In reply to Vladimir Potapov from comment #1)
> в дебиан закрыт, есть патч
> https://security-tracker.debian.org/tracker/CVE-2017-11550

У них последний патч он 2014 года.

https://mirror.yandex.ru/ubuntu/pool/main/libi/libid3tag/
Comment 4 VictorR2007 2024-01-11 09:29:19 MSK 
(In reply to VictorR2007 from comment #3)
> У них последний патч он 2014 года.
> 
> https://mirror.yandex.ru/ubuntu/pool/main/libi/libid3tag/

Или CVE-2017 это не год?
Comment 5 Aleksandr Proklov 2024-01-12 06:00:37 MSK 
(In reply to Vladimir Potapov from comment #1)
> в дебиан закрыт, есть патч
> https://security-tracker.debian.org/tracker/CVE-2017-11550

Этот патч у нас уже давно есть. Добавил в спек информацию о CVE.

libid3tag	0.15.1b-24

https://abf.io/build_lists/4954090
https://abf.io/build_lists/4954091 х64
https://abf.io/build_lists/4954092
https://abf.io/build_lists/4954093
https://abf.io/build_lists/4954094
Comment 6 Vladimir Potapov 2024-01-15 11:38:14 MSK 
(In reply to Aleksandr Proklov from comment #5)
> Этот патч у нас уже давно есть. Добавил в спек информацию о CVE.
Там еще https://nvd.nist.gov/vuln/detail/CVE-2017-11551 medium

Может, лучше переименовать патч, для ясности?
Comment 7 Aleksandr Proklov 2024-01-16 11:15:28 MSK 
нет.
Comment 8 Vladimir Potapov 2024-01-16 11:36:12 MSK 
*******************************
The update sent to testings
Comment 9 Vladimir Potapov 2024-01-23 14:30:35 MSK 
libid3tag-0.15.1b-24
https://abf.io/build_lists/4954090
https://abf.io/build_lists/4954091 х64
https://abf.io/build_lists/4954092
https://abf.io/build_lists/4954093
https://abf.io/build_lists/4954094
*********************** Advisory ************************
Refactoring CVE fix
*********************************************************
QA Verified