[FUG-BR] portaudit não detecta vulnerabilidade no bindXX-base

[Marcelo Gondim]

Pessoal,

Recentemente descobri que o portaudit não está mostrando vulnerabilidade 
quando estamos usando o bind e a option REPLACE_BASE marcada. Isso faz 
com que o pacote gerado se chame bindXX-base-... e a base de 
vulnerabilidades não contempla esse nome, somente bind e por isso não 
funciona como deveria. Passei para o sec team o problema e já está 
havendo uma discussão sobre isso e acredito que logo teremos uma solução 
definitiva para esse pepino. :)  Quem tiver o bind dessa forma vai 
precisar atualizar de qualquer jeito. Para vocês perceberem o problema:

# pkg_info |grep bind
bind98-base-9.8.3.3 BIND DNS suite with updated DNSSEC and DNS64

root em zeus:~# portaudit -Fda
New database installed.
Database created: Thu Oct 11 15:00:02 BRT 2012
0 problem(s) in your installed packages found.

De acordo com esse advisory abaixo eu estou vulnerável:

http://www.vuxml.org/freebsd/57a700f9-12c0-11e2-9f86-001d923933b6.html

Estou mandando esse e-mail aqui na lista para avisar à todos que possam 
estar com o mesmo problema.  :)

No passado o mesmo ocorria com o pacote do phpmyadmin e não era 
detectado pelo portaudit mas foi corrigido e nunca mais apresentou esse 
erro.

Grande abraço
Gondim