portaudit Ärger mit curl und apache

[q000te]

Zur Zeit nervt mich portaudit. Bei curl und apache22 meckert es, obwohl die installierten Versionen schon gepatcht sind. Wobei ich die Aktualisierungen schon mit `make -DDISABLE_VULNERABILITIES` einspielen musste.

> portaudit
Affected package: apache22-2.2.24
Type of problem: apache22 -- mod_rewrite vulnerability.
Reference: http://portaudit.FreeBSD.org/f3d24aee-e5ad-11e2-b183-20cf30e32f6d.html

Affected package: curl-7.24.0_3
Type of problem: cURL library -- heap corruption in curl_easy_unescape.
Reference: http://portaudit.FreeBSD.org/01cf67b3-dc3b-11e2-a6cd-c48508086173.html

2 problem(s) in your installed packages found.

You are advised to update or deinstall the affected package(s) immediately.
> pkg info | grep apache22
apache22-2.2.24_1              Version 2.2.x of Apache web server with prefork MPM.
> pkg info | grep curl
curl-7.24.0_4                  Non-interactive tool to get files from FTP, GOPHER, HTTP(S) servers

Ist das normal, oder hab ich irgendwo einen Fehler eingebaut?
Ein Update der portaudit Datenbank hat keine Änderung gebracht.

Zur Verwaltung der Ports kommt `portmaster`, `pkgng` und das klassische `make install` zum Einsatz.

 

[lme]

Vor dem upgrade von curl-7.24.0_3 auf curl-7.24.0_4 hat "pkg audit -F" mir angezeigt, dass curl verwundbar ist, nach dem upgrade nicht mehr.
Portaudit habe ich nicht installiert.

 

[q000te]

Strange, `pkg audit` sagt nichts, aber `portaudit` bleibt bei den alten Versionen stehen...

Ein `deinstall` / `reinstall` und das Löschen von `/var/db/portaudit` hat nichts gebracht.
Ein Problem der umstellung von pkg_ auf pkgng sollte es aber auch nicht sein, die ist schon länger erfolgt...

Ich habe jetzt erstmal portaudit entfernt.
Und `daily_status_security_pkgaudit_enable="NO` in der `periodic.conf` gesetzt, bis ich weiß, wie ich dort portaudit durch pkg audit ersetzt bekomme.