Bug 24976

Summary: update to 3.51+
Product: Sisyphus Reporter: Michael Shigorin <mike>
Component: perl-CGIAssignee: viy <viy>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: at, cas, crux, ender, lav, ldv, mike, qa_viy, shaba, viy
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: http://www.bugzilla.org/releases/3.6.4/release-notes.html

Description Michael Shigorin 2011-01-25 19:48:46 MSK 
Необходимо обновить (также доступен 3.52):

+        # 3.51 fixes a security problem that affects Bugzilla.
+        # (bug 591165)
+        version => '3.51',

http://search.cpan.org/~markstos/CGI.pm-3.51/
Comment 1 Michael Shigorin 2011-01-25 20:10:53 MSK 
Пушнул perl-CGI.git с подготовленными 3.50 и 3.51 в бранче cpan, при мерже в master вылезли конфликты:

Auto-merging MANIFEST
Removing cgi-lib_porting.html
Auto-merging lib/CGI.pm
CONFLICT (content): Merge conflict in lib/CGI.pm
Auto-merging lib/CGI/Carp.pm
Auto-merging lib/CGI/Cookie.pm
CONFLICT (content): Merge conflict in lib/CGI/Cookie.pm
Auto-merging lib/CGI/Pretty.pm
Automatic merge failed; fix conflicts and then commit the result.

Одно про временные файлы (разъехались реализации), второе -- про require Apache2::RequestUtil; (аналогично).  Сам решать в пользу cpan не решился.

http://git.altlinux.org/people/mike/packages/?p=perl-CGI.git;a=shortlog;h=refs/heads/cpan
Comment 2 at@altlinux.org 2011-01-25 20:18:14 MSK 
У нас perl-CGI уже исправлен.
Comment 3 Michael Shigorin 2011-01-25 20:33:31 MSK 
Спасибо; своей багзиле-то объясню, но и 3.52 на дворе всё же, и форк выходит.
Comment 4 at@altlinux.org 2011-01-25 20:40:59 MSK 
В перле 5.12.3 такой же исправленный  CGI как у нас собранный отдельно.  Потому что типа CGI считатается частью perl core или perl standard library.  Хотя по отдельности обновлять вроде бы тоже можно.

Мо-моему, если кто-то требует версию CGI больше 3.49, то он не учитывает, что в perl 5.12.3 исправленный CGI имеет версию 3.49.  Вообще это порочная практика - указывать минимальную требуемую версию зависимосити, исходя из CVE.  Помнится у нас одно время был старый ssh, но хорошо пропатченный.  И вот много жалоб былао, что весрия не канает...
Comment 5 Michael Shigorin 2011-01-25 21:09:27 MSK 
Лёш, я-то потому и привёл кусок bugzilla-3.6.4/Bugzilla/Install/Requirements.pm -- сперва сходил в CPAN и посмотрел на отдельные CGI.pm-3.49 и CGI.pm-3.50.
Comment 6 Vladimir Lettiev 2012-10-06 11:08:16 MSK 
Закрываю