Уязвимость в gzip

это очередной раз доказывает, что все споры о защищенности тех или иных систем -- развлечение для тех кому нечего делать. а защищенная система -- это корпус без наружных соединений залитый N тоннами бетона :)

Абсолютная защищенность - утопия.

Спор обычно идет об относительной защищенности - а здесь уже поле для обширной дискусии (читай: флейма :).

это доказывает что опенсоурс рулит. уж насколько гипотетическую ситуацию выковыряли и устранили. это называется правильная архитектура

может и правильная, но все-таки с /tmp какая-то лажа.
сколько уже на эту тему написано и все равно такие
"дыры" всплывают постоянно

А теперь смотрим _внимательно_ на сhangelog Owl'овского пакета gzip:

* Fri Sep 28 2001 Solar Designer <solar@owl.openwall.*>
- Patched unsafe temporary file handling in gzexe, zdiff, and znew based
on work by Todd Miller of OpenBSD.
- Dropped Red Hat's patch which attempted to fix some of the same issues
for gzexe but was far from sufficient.

Не надо распостранять кривой перевод из nixp.ru.
Надо читать первоисточник.

В http://www.trustix.org/errata/2004/0050 написано *совершенно* другое:

: Package name: gettext, ghostscript, glibc, groff, gzip,
: kerberos5, lvm, mysql, netatalk, openssl, perl, postgresql
[skip]
: Problem description:
: Trustix Security Engineers identified that all these packages had one or
: more script(s) that handled temporary files in an insecure manner. While

Это не проблема gzip.
Это проблема инсталлятора пакетов конкретного дистрибутива, помешанного на security.