DSA 215-1 Az új cyrus-imapd csomag javítja a távoli parancsvégrehajtást

 ( gyu | 2002. december 23., hétfő - 18:14 )

Csomag: cyrus-imapd

Sebezhetőség: puffer túlcsordulás

Probléma típus: távoli

Debian-specifikus: nem

CVE Id: CAN-2002-0379

CERT Advisory: VU#740169

BugTraq Id: 4713



Timo Sirainen talált egy puffer túlcsordulási hibát a Cyrus IMAP szerverben, amit egy rosszindulatú távoli támadó kihasználhat arra, hogy bejelentkezzen rá. Egy rosszindulatú felhasználó előállíthat olyan kérést amit a cyrus szerver uid és gid-je alatt fog futni.

Letölthető az XFree86 4.2.99.3 a RandR-rel

 ( sas | 2002. december 23., hétfő - 16:30 )

Kissé megkésett hír, de lényegében itt az X 4.3, legalábbis a 4.2.99.3 snapshot a már emlegetett RandR technológiával és a Gimp Tool Kit 2.2, amely szintén támogatja ezt a bővítést. A már végleges 4.3 éppen egy hónap múlva lészen kiadva egyidejűleg a New York-i Linux Conference & Expo-val, és az ausztrál Linux konferenciával. Szomorú, de még mindig nincsen az XFree86-nak magyar mirrorja, de a snapshot azért természetesen letölthető:

Dániában az összes iskola Linuxra vált

 ( trey | 2002. december 23., hétfő - 10:00 )

A Slashdot szerint, Dániában minden iskola a szabad szoftvereket választotta, és Linux OS-re vált. Az összes iskola azt jelenti, hogy 1.1 millió tanuló fog Linuxot használni. Ezek a tanulók az iskola befejezése után is valószínűleg a Linuxot fogják használni, így Dánia nagy része a szabad szoftverek által kikövezett utat fogja járni. A Linux mellett a StarOffice kerül a gépekre, a Sun bele is egyezett a StarOffice ingyenes biztosításába (gondolom letölthető, vagy CD-ROM-on biztosítja a szoftvert 10 Dán koronáért, ami kb. 1.5$).

A Slashdot erre a cikkre hivatkozik, sajnos a cikk dán nyelven szól.

Sun: Következő generációs adatközpont

 ( trey | 2002. december 23., hétfő - 9:25 )

A Terraspring és a Pirus Networks virtualizálási technológiáival működő N1 rendszerarchitektúra térhódítása

2002. december 10. Csupán három hónappal az N1 nevű, áttörően új rendszer-architektúra első terveinek bemutatása után a Sun felvásárolta a Terraspring és a Pirus Networks vállalatot. A most vásárolt cégek hatékony virtualizálási technológiáinak kihasználásával és bővítésével a Sun valóra váltja a következő generációs adatközpontokkal kapcsolatos elképzeléseit.

Érdekesség: Nem kutat hamis szoftver után a BSA

 ( trey | 2002. december 23., hétfő - 8:52 )

"A BSA nem nyomoz illegális szoftver után, nem tart házkutatást. A jogtiszta szoftverek használatáért küzdő szervezet inkább információs központnak tekinthető."

Ezzel a bevezetővel olvashatsz egy beszélgetést Sebők Erzsébettel, a BSA főtitkárával az Origón. Az olvasók kérdeztek, a főtitkár válaszolt:

"Önnek otthon minden szoftvere legális? Mert ha igen, ön egy nagyon gazdag ember lehet. (Victorius)

Sebők Erzsébet: Igen, minden szoftverem legális, annak ellenére, hogy nem vagyok gazdag."

LinuX-Mas dalok zengjenek

 ( trey | 2002. december 22., vasárnap - 14:08 )

A gondokkal küzdő IT világ nem gazdag jelenleg dollárokban, de az elmúlt években gazdagodott néhány karácsonyi énekkel. A LinuxWorld-ös St. Nicholas Petreley ebben az évben is készített néhány karácsonyi éneket, és arra kér midenkit, aki a Linux világában tevékenykedik, hogy kapcsolja be monitorát, keressen az alkalomhoz illő képet, emelje fel a hangját és dalolja együtt a dalokat ;-)

"Microsoft is Coming To Town
(To the tune of Santa Claus is Coming To Town)"

You better watch out
You better not cry,
"I don't know where all my licenses lie!"
Microsoft is coming to town

You paid for it list,
You paid for it twice;
You paid even more for legal advice.
Microsoft is coming to town"

FreeBSD 5.0 RC2 majdnem kész

 ( trey | 2002. december 22., vasárnap - 13:30 )

Scott Long a FreeBSD release engineering csapat tagja küldte a levelet, hogy a FreeBSD 5.0 RC2 lassan készen lesz, és rövidesen elérhetővé válik. A FreeBSD várva-várt 5.0-ás verziójának az (új) ütemtervét úgy látszik kisebb csúszásokkal, de tartani tudják a fiúk. Az RC2 2002. december. 21-re volt jelezve. A FreeBSD 5.0 várható megjelenése (a jelenlegi adatok alapján) 2003. január. 17-e.

Scott Long levele:

Bochs 2.0 kiadás

 ( trey | 2002. december 22., vasárnap - 13:15 )


Megjelent a Bochs 2.0 - olvashatjuk a Slashdoton. Bryce Denney, a Bochs project vezetője írta: "6 elfoglalt hónap van mögöttünk az előző kiadás óta! A Bochs jelenleg körülbelül kétszer gyorsabb mint az 1.4.1-es verzió volt. Ezen kívül, emulálni tudjuk az MMX utasításokat, az SSE/SSE2-t, és az AMD x86-64 utasításokat is, ha bekapcsolod a megfelelő konfigurációs opciókat."

PHP 4.3.0RC4

 ( trey | 2002. december 21., szombat - 23:47 )

Itt a PHP 4.3.0 negyedik release candidate kiadása. Ebb javításra került a CGI vs. CLI SAPI-hoz kapcsolódó, és egyéb bugok. Egy rövid tesztelési időszak után már jöhet is a végleges 4.3.0, a fejlesztők szerint még ebben az évben. Hajrá!

[http://hu.php.net/]

LWN: a 2002-es év Linux kronológiája

 ( trey | 2002. december 21., szombat - 22:16 )

Az LWN öt éve, minden év végén készít egy eseménynaptárt, amelyben az aktuális év Linux történéseit szedik össze egy helyre. A kronológia már körülbelül másfél hete elkészült, de csak a fizetős LWN olvasóknak volt elérhető. Most felszabadították a cikket (az LWN az napi híreket ingyen adja, a cikkeket viszont csak a fizető olvasóknak teszi elérhetővé a megjelenés utáni első héten. A hét letelte után szabaddá teszi a cikket), így bárki olvashatja.

A kronológiát megtalálod itt.

NetBSD: NetBSD IRIX bináris kompatibilitás 5. rész

 ( trey | 2002. december 21., szombat - 18:01 )

O'Reilly Network
Folytatódik Emmanuel Dreyfus [p99dreyf@criens.u-psud.fr] folyamatban levő cikksorozata, amely a NetBSD operációs rendszeren való Irix bináris kompatibilitást elemzi. A cikksorozat ötödik részében az Irix Multithreading emulációról esik szó.

A cikksorozat az Onlamp-on jelenik meg, a minőségre garancia az O'Reilly név.

A MandrakeSoft megint adományokat gyűjt

 ( trey | 2002. december 21., szombat - 17:49 )

A MandrakeSoft nem az első alkalommal gyűjt pénzt. Mint arról márciusban írtam, a MandrakeSoft a támogatásra két dolgot eszelt ki:

- The Mandrake Linux Users Club

A felhasználókat egy klubban kívánják tömöríteni, és havonta 5$ tagsági díjat kívánnak szedni (természetesen nem kötelező).

- The Mandrake Linux Corporate Club

Ezt a támogatási rendszert kimondottan céges felhasználóknak ajánlják. A tagsági díj itt 2500$-tól kezdődik.

DSA 214-1 Az új kdenetwork csomagok javítják a puffer túlcsordulásokat

 ( szogi | 2002. december 20., péntek - 21:33 )

Csomag: kdenetwork
Sebezhetőség: puffer túlcsordulások
Probléma típus: távoli
Debian-specifikus: nem
CVE Id: CAN-2002-1306

Mozilla 1.2.1 woody backport

 ( gyu | 2002. december 20., péntek - 20:40 )

Amikor majd egy hónapja készítettem az 1.1-es mozillából woody backportokat néhányan fájlalták, hogy nem az éppen akkor frissen kijött 1.2-vel követtem el ezt.

Aztán persze kicsivel rá kijött az 1.2.1-es mozilla, mert az 1.2 az tésztaszűrő céljából lett kiadva:-)

No ma fogtam az 1.2.1-es mozillát, és letekertem woody alatt, valamint utána, hogy al3x-nek se legyen hiányérzete mellétettem az 1.2.7-es galeon-t is. Használat a szokásos apt sorral:



deb http://people.fsn.hu/~pasztor/debian woody mozilla



Visszajelzéseket szokás szerint várom a pasztor@fsn.hu címre, mert a következő extra CD-re már ezek fognak menni.

OpenBSD: Spam blokkoló motor az OpenBSD-hez

 ( trey | 2002. december 20., péntek - 16:51 )

Theo de Raadt egy spam blokkoló motort fejleszt. A dolog lényege, hogy a www.spews.org-on szereplő mintegy ~12,000 spam-küldő IP/mask-ját felhasználva, a pf(4) segítségével szűri a leveleket. Ha jól értettem, akkor a spammer hostról jövő leveleket egy speciális daemon kapja (redirect), amely minimálisan hamisított (fake) SMTP protokollt használ (azaz SMTP szervert szimulál) nagyon alacsony overhead-del, és a a levélküldő egy egyszerű 550-es visszatérési kódot kap a levelére. Az 550-es kód ha jól emlékszem az SMTP rfc-re akkor az azt jelenti, hogy a címzett nem található (550 no such recipient here).

Bővebb infó a stuffról a OpenBSD Journal-ban.

CUPS biztonsági hibák

 ( trey | 2002. december 20., péntek - 16:33 )

A CUPS-ban (Common Unix Printing System) számos olyan biztonsági hibát fedeztek fel, amelyet kihasználva a legrosszabb esetben a távoli és lokális felhasználó egyaránt root privilégiumokhoz juthatnak. Az Easy Software terméke az IPP-n (internet Printing Protocol) alapul, és majd az összes Postscript és raszteres nyomtatóhoz kínál nyomtatási szervizt. A dolog azért különösen veszélyes, mert szinte az összes Linux (és a többi Unix-szerű rendszer is) disztribúció magában foglalja a CUPS-ot.

A sebezhetőségről bővebb infót az iDEFENSE oldalán találsz.

Szomorú hír

 ( trey | 2002. december 20., péntek - 14:06 )

Egyik tagunk külde a levelet:

"Szia Trey!

Nem tudom, hogy mennyire ismered a munkásságát, a HWSW-n olvastam, hogy meghalt Pósvári Sándor, az euroAstra főszerkesztője:

http://hwsw.hu/hir.php3?id=19186

Ha gondolod tedd ki hírnek, sokat tett azért, hogy a BSA aljasságait ne csak a reklámjaikból ismerjék meg az emberek és sok olyanon is segített, akiket bepereltek, meghurcoltak.

Adi"

Alan Cox: Linux 2.2.24-rc2

 ( trey | 2002. december 20., péntek - 9:12 )

Itt van Cox apó legújabb 2.2-es munkája. A 2.2.24-rc2-be főleg AMD fixek kerültek.

Letölthető patch-2.2.24-rc2.gz

Változások:

A Free Software Foundation elindította pártoló tag programját!

 ( sas | 2002. december 20., péntek - 8:27 )

A Free Software Foundation-nak mától pártoló tagja lehetsz, természetesen különleges szolgáltatásokért, diákként évi 60 illetve havi 5 dolcsiért, s ezért többek között a következőket kapod: dedikált példányt RMS Szabad szoftver, szabad társadalom c. esszékötetéből, továbbá 20% kedvezményt a kiadványokból, különböző kedvezményeket nyújtó (no meg villogtatható) tagkátyát, 5 email aliast a member.fsf.org-on, meghívást a találkozókra, + természetesen villogtatják a neved a széles nyilvánosságnak szóló FSF propagandákban. Linkek:

Linux 2.5: Linus implementálta a vsyscall, sysenter támogatást

 ( trey | 2002. december 19., csütörtök - 23:05 )

A héten egy nagyon hosszú threadre figyelhetett fel az, aki rendszeresen olvassa az LKML-t. A threadet Mike Hayward levele indította el. Mike egy összehasonlító tesztet hajtott végre több Intel P4 számítógépen, és a PIII-as notebookján. Mindegyik gépen pontosan ugyanazt a kernelt futtatta, és ugyanazt a végrehajtható állományokat használta. Arra az érdekes felfedezésre jutott, hogy a sokkal lassabb PIII gépen nagyobb rendszerhívás-teljesítményt mért, mint a jóval nagyobb órajelen futó P4-es gépeken. A tesztek azt mutatták, hogy a rendszerhívások overhead-je sokkal magasabb a P4 gépeken, mint a lassabb PIII-on, pedig a P4 400MHz-es FSB-vel, és DDR RAM-mal üzemelt.

DSA 213-1 Az új libpng csomag javítja a puffer túlcsordulást

 ( gyu | 2002. december 19., csütörtök - 17:24 )

Csomag: libpng, libpng3

Sebezhetőség: puffer túlcsordulás

Probléma típus: távoli

Debian-specifikus: nem

CVE Id: CAN-2002-1363



Glenn Randers-Pehrson talált egy problémát a 16bites mintákkal kapcsolatban a libpngben, ami egy interfész a PNG (Hordozható Hálózati Grafikák) formátumú fájlok olvasásához és írásához. Az induló eltolást (offset) a ciklusokhoz hibásan számolja ki, ami a kezdő sorpufferen való puffertúlfutást eredményez.

www.suselinux.hu: Tesztelje a SuSE Linux Enterprise Server 8-at!

 ( trey | 2002. december 19., csütörtök - 11:34 )

"Gyõzõdjön meg személyesen a SuSE Linux Enterprise Server 8 teljesítményérõl - idõveszteség és kockázat nélkül. Tesztelje most a SuSE Linux Enterprise Server 8-at és fedezze fel egy szerver operációs rendszer elõnyeit: méretezhetõség, stabilitás és megbízhatóság különbözõ alkalmazási környezetekben és heterogén IT környezetkeben.

Marcelo Tosatti: Linux 2.4.21-pre2

 ( trey | 2002. december 19., csütörtök - 11:28 )

"Hi,

Jobb később mint soha, itt a -pre2." - írta tegnap Tosatti.

Letölthető patch-2.4.21-pre2.bz2

Változások logja itt.

TrojanProof a 3.2-Release-hez

 ( trey | 2002. december 19., csütörtök - 10:26 )

A TrojanProof.org-os fiúk kiadták a legújabb foltjukat a 3.2-release-hez. A folt szabadon letölthető, akinek szüksége van hozzá támogatásra, az itt tud rendelni. A csomagokat a 3.2-höz itt találod, természetesen PGP aláírással.

A program elektronikus aláírásokkal dolgozik. A pontos működési mechanizmusát megismerheted ebből a PDF dokumentumból. Megjegyzendő, hogy a dolog összekapcsolható a systrace nevű biztonsági eszközzel is.

FIGYELEM: a TrojanProof módosítja a kernelt, ami a rendszer működésére is kihatással lehet. Az OpenBSD project hivatalosan nem támogatja a foltot. Szükséges lehet fejlesztői környezetben tesztelni a patchet, mielőtt produktív környezetben használatra kerül.

Kacsolódó oldalak:
Niels Provos systrace weblapja
OpenBSD
systrace az alaprendszerben
Fejlemények systrace ügyben
OpenBSD: privilégium emelés (Privilege Elevation)

Anti-trójai kernel patchek FreeBSD 4.6, 4.6.2-höz. és OpenBSD 3.1-hez


Trójai programok elleni védelem FreeBSD-hez és OpenBSD-hez

Interjú Colinnal a Debian-desktop projectről

 ( sas | 2002. december 18., szerda - 23:13 )

A Linux Weekly News meginterjúvolta Colin Walterst a nemrégiben elindított Debian desktop projectről! Jill Ratkevic a legnagyobb közérdeklődésre számot tartó kérdésekről faggatta Colint, például Tollef Fog Heen már hírül adott dinamikus munkájáról a jobb installerért olyan fontos képességekkel mint a hardware-detect, a GNOME és a KDE prioritásáról az XFCE továbbá más window-managerek tükrében, a jóval könnyebb konfigról a Debian világában friss userek számára,