Brad Spengler (spender) a grsecurity névre hallgató kernelpatch fő fejlesztője a grsecurity 2.1.0 tegnapi bejelentésében 5 komoly, eddig javítatlan Linux kernel biztonsági hibára utalt.

A hibák javításához Brad nem csak a grsec patchet, hanem az általa kiadott egyéb patchek biztonsági javítások alkalmazását is javasolja.

A grsec 2.1.0 bejelentésében Brad azt panaszolja, hogy többször próbáltak kapcsolatba lépni a kernelfejlesztőkkel a hibák javítása miatt, de nem kaptak választ.Az első alkalom tavaly december 15-én volt, mikor Brad jelezte Linusnak az "RLIMIT_MEMLOCK bypass with locked stack" sebezhetőséget. Utána december 27-én a PaX team jelezte a "2.6.9+ mlockall/expand_down DoS by unprivileged users" hibát. Végül 2005. január 2-án a PaX team újra elküldte előző levelét Linus Torvaldsnak és Andrew Mortonnak is.

A levelekben csatolva volt a megfelelő javítás és a PaX team levelében a működő exploit is. Annak ellenére, hogy a kérdéses időszakban Linus és Andrew is commitoltak változtatásokat a kernelbe, választ nem kaptak.

Brad fel van háborodva a dolog miatt, aminek hangot is adott a bejelentésben.

Valaki forward-olta a Brad levelét a Linux listára és választ kért a fejlesztőktől. Andrew Morton válaszában a kövekezőket írta: mivel egy privilégium nélküli felhasználó a halálba tudja DoS-olni a Linux kernelt a malloc-kal és a memset-tel, így a RLIMIT_MEMLOCK bug nem igazán különleges, a többi jelzett bughoz pedig root felhasználó kell. A problémát továbbította a megfelelő embernek, és várható a javítás.

Alan Cox is válaszolt, szerinte az összes javítás benne lesz (az azóta már megjelent -ac7-ben).

Pár napig - amíg a tükörszerverek képesek nem lesznek kielégíteni az igényeket - letölthető lesz innen a HUP-ról a SuSE 9.2 FTP-DVD verziója.

http://www.hup.hu/~trey/SuSE9.2/SUSE-Linux-9.2-FTP-DVD.iso

http://www.hup.hu/~trey/SuSE9.2/SUSE-Linux-9.2-mini-installation.iso

http://www.hup.hu/~trey/SuSE9.2/MD5SUMS

Misinek köszönhetően jövő hét péntekig kinn lesz az ISO itt is:

http://feszek.pte.hu/SuSE9.2/MD5SUMS

http://feszek.pte.hu/SuSE9.2/SUSE-Linux-9.2-FTP-DVD.iso

http://feszek.pte.hu/SuSE9.2/SUSE-Linux-9.2-mini-installation.iso



Slink-nek köszönhetően húzható innen is:

http://slink.lxp.hu/SUSE-Linux-9.2-FTP-DVD.iso

http://slink.lxp.hu/SUSE-Linux-9.2-mini-installation.iso

http://slink.lxp.hu/MD5SUMS

Paul Starzetz újra kiadta a tegnapi uselib() hiba figyelmeztetőjét, mert az számos helyen pontatlan volt. Javítva lett az elírt 2.4-es kernel verzió, és az érintett kernelek közé felkerült a 2.2-es is.

Az új advisory itt.

Felkerült egy cikk a Linux Journal oldalaira a Gentoo Linuxról. Egy kicsit más oldalát mutatja meg a disztribúciónak. Természetesen, a sajat gépdre optimalizálhatsz vele minden csomagot, de nem ez az igazi erőssége, hanem a csomagkezelése.

Alan Cox kiadta a hetedik foltját a 2.6.10-es Linux kernelhez. A patch tartalmazza a javítást a tegnap említett uselib() hibára.Egyébként is érdemesebb a 2.6 sorozatban az -ac kernelfát követni, mert konzervatívabb a bekerülő újdonságok tekintetében, és általában gyorsabban frissül, mint a többi 2.6-os kernelfa.

Alan levele a változások listájával itt. Letölthető a kernel.org-ról (innen) és a tükörszervereiről.

Tegnap megjelent a Grsecurity biztonsági kernelpatch a 2.4.28-as és 2.6.10-es kernelekhez. A letöltés szekcióban a grsec patch mellett biztonsági patcheket is találunk.
2.4.28:

--------

http://www.grsecurity.net/grsecurity-2.1.0-2.4.28-200501051112.patch

http://www.grsecurity.net/linux-2.4.28-secfix-200501071141.patch

2.6.10:

--------


http://www.grsecurity.net/grsecurity-2.1.0-2.6.10-200501071049.patch

http://www.grsecurity.net/linux-2.6.10-secfix-200501071130.patch

A DistroWatch szerint a SuSE 9.2 letölthető a tükörszerverekről. A szokásos FTP install mini-ISO mellett most a SuSE egy olyan DVD ISO-t is kiadott, amely i386 és az x86_64 csomagokat is tartalmaz.Az anyag letölthető (lesz, mert jelenleg még sehol nem látom egy szerver kivételével, ami az USA-ban van, és dög lassú) a tükörszerverekről.

ISO-k:

SUSE-Linux-9.2-mini-installation.iso

SUSE-Linux-9.2-FTP-DVD.iso (3,208MB)

(aki tud gyors mirror az szóljon!)

Csendben, minden hírverés nélkül megjelent a SLAX oldalán egy technology preview verzió, amelyben új filerendszer kerül bevezetésre és hamarosan átállnak a 2.6-os kernelre is.

``Most, hogy (már) értem a gyengén megírt BSD routing kódot, és azt, hogy mit akart csinálni, átírtam egy tisztább, tömörebb formára.''

Marcelo reagálva a korábban említett helyi root sebezhetőségre, kiadta a 2.4.29-rc1-es kernelt. A patchben már benne van a szükséges javítás. A hibajavítás mellett SATA és hálózati frissítés is található az anyagban. A patch letölthető a kernel.org tükörszervereiről.

Marcelo levele a változások listájával itt.

Összegzés: Linux kernel uselib() privilege elevation

Termék: Linux kernel

Verzió: 2.4-től felfele, beleértve a 2.4.29-rc2-t is; 2.6-tól felfele, beleértve a 2.6.10-et is

CVE: CAN-2004-1235

Szerző: Paul Starzetz (ihaquer () isec ! pl)

Dátum: 2005. január 7.Paul Starzetz olyan hibát talált a Linux kernelekben, amelyet kihasználva a rosszindulatú helyi támadó root jogokhoz juthat.

A hiba a kernel uselib() függvényében található.

A bejelentés itt.

CAN-2005-0021: lokálisan kihasználható buffer overflow a host_aton() függvényben

CAN-2005-0022: távolrol kihasználható buffer overflow, a BASE64 decoderben (nem ellenőrzi az output buffer méretét)

Mindkét esetben - bizonyos körülmények között - az exim daemont futtató user jogosultságához juthat a támadó.A hibára már reagáltak az alábbi disztribúciók:

Debian sid: debian-devel-changes (default mailer sarge felett az exim4!)

Ubuntu Warty Warthog 4.10: USN-56-1 exim4 sebezhetőségek (default mailer a postfix)

Új upstream verzió még nincs, és a sarge-ba sem került még át.

A korábban a FreeBSD Foundation és a Sun Microsystems között zajló tárgyalások eredményeképpen a FreeBSD olyan licencet kapott a Sun-tól, amely lehetővé tette a Java Runtime Enviroment (JRE) és a Java Development Kit (JDK) FreeBSD-ben való bináris terjesztését. Ennek eredményeképpen 2003. augusztusában a FreeBSD projekt kiadta az első bináris Java Runtime Environment disztribúciót a FreeBSD platform számára.

Az OsNews úgy tudja - hivatkozva a FreeBSD Foundation hírlevelére -, hogy a Sun visszavonja ezt a licencet.A hírlevélben az áll, hogy a Sun értesítette a FreeBSD Alapítványt, hogy vissza kívánja vonni és újra kívánja tárgyalni az Alapítvánnyal a SCSL licencet.

Mások úgy tudják, hogy a Sun kiadott egy rövid állásfoglalást arról, hogy valójában nem vonta vissza a licencet, tárgyalásokat folytat a FreeBSD-vel a licencük megújításával kapcsolatban, és nem kommentálja a kivülállók közt folyó vitákat.

Bővebben itt.

Sokszor elnézzük a titkárnőket, milyen profi módon
gépelnek "vakon", és csak csodáljuk ügyességüket.
Tudjuk, hogy a "vakon" nem a szemünk világának
elvesztését jelenti. Csupán úgy vagyunk képesek
gépelni, hogy nem nézzük a billentyűzetet. Jól ismert
érzés, hogy valamit be kell gépelni a számítógépünkbe,
de a pokolba kívánjuk a gépelést. Nos ez így igaz, kettő
vagy több ujjal úgy gépelni, hogy közben nézem a
billentyűzetet elég nagy szenvedés. A "vakon" gépelés
ilyenkor csak valami elérhetetlen varázslatos dolognak
tűnik. Akik azonban megtanultak már vakon gépelni,
azok tudják, milyen érzés ez. Amikor elkezdek vakon gépelni, érzem az ujjaim ritmusos
hullámzását a billentyűzeten, amely kellemes és jó
érzéssel tölt el. Olyan ez mint a tánc. Annak idején
nem Linuxon tanultam meg "vakon" gépelni, de miután
a pingvines rendszert kezdtem megszeretni, azt gondoltam
másokkal is meg kell osztani ezt az érzést. Amikor
sokat Linuxozunk egy idő után megszeretjük a Linux
parancssoros lehetőségeit is, mint az awk, sed
csővezetékek stb. Akik vonzódnak a programozáshoz,
azok megismerhetik a C és a többi nyelv Linux

Természetesen sok program létezik amely ennek oktatásával
foglalkozik. A minősítésük nem tisztem, de azt elmondhatom,
hogy legtöbbnek a problémája az, hogy a magyar ékezeteseket
nem kezeli. Ha kezeli nincsenek magyar leckék, stb.
Miután magáncélra más operációs rendszeren pascalban
már írtam ilyet, úgy gondoltam erre szüksége lesz a
Linuxos közösségnek is. Miért éppen karakteres felület, és
miért nem pl. GTK? Sok szakember szereti a parancssort,
miért kellene grafikus felület a gépelés megtanulásához.
Lehet így is felhasználóbarát, pl. menük alkalmazásával.



Így fordult elő, hogy most a Tpgt (Typing Trainer) nevű
programomnak ma közétettem a 0.5.2 verzióját. Készítettem
belőle forrást, binárist és Deb csomagot. Az oldalról
kiindulva UHU csomag is elérhető (kérem az uhusok
türelmét, amíg megtörténik a verziókövetés). Jelenleg
nem sok új funkció van a csomagban, de annál több hiba-
javítás. A ChangeLog ezzel kapcsolatban bőbeszédűbb.
A Tpgt-ét angol és magyar nyelvre készítettem el.
Lényeges tulajdonsága, hogy könnyen írhat bárki saját
leckét. A csomagokban megtalálható a leckefájl formátuma is.



Az ünnepek alatt tönkrement a HDD-ém. Voltak többen
akik tesztelték vagy használták a programot, és
elveszett a címük. Volt pl. aki Fedora alatt próbálta és
problémájára most készítettem megoldást, de így nincs
meg a címe. Kérem jelentkezzen.



Jelenleg új webhelyet keresek a programnak (meg a
hogyan-oknak melyek szintén ezen a helyen vannak
elhelyezve), ezért változni fog a program URL-je.
A http://members.chello.hu/sallaia/tpgt megszűnik.



Jelenleg a program weblapja:




http://tpgt.freeweb.hu





3 hónapig minden nap egy óra gyakorlás, és
te is "vakon" gépelsz.

mely az interneten is olvasható: http://hvg.hu/hvgfriss/2005.01/200501HVGFriss154.aspx

A fenti újság - papíralapú kiadás - 69. oldalán található írás 2. bekezdésében foglaltak - enyhén szólva is - megkérdőjelezhetőek. Már ami az objektivitást illeti.A szerző közgazdász, egyetemi tanár, de talán vehetné a fáradtságot, hogy tájékozódik a monopóliumok általános témáján túlmutató M$-féle akciókról, s egyéb "finom" húzásaikról.

Bennem felmerült a lehetősége - természetesen tiszteletben tartva a szerző véleményét -, hogy ez egy "szponzorált" cikk, amolyan szerecsenmosdatás...

Mindenki azt gondol, amit akar, elvégre a HVG idézett cikke is a VÉLEMÉNY rovatban jelent meg. Lásd még: sajtószabadság. Tehát nem vádról van szó!

Konkrétan a bekezdés vége felé, idézem:

[...] Ha ugyanis mindenki ugyanazt veszi, akkor könnyebb az együttműködés a munkatársakkal, üzletfelekkel, barátokkal (például adatállományok cseréje, levelezés).[...]

Ez nagy általánosságban igaz. Sőt, alapvetően. Ellenben erről csak annyit, hogy általában, s szinte mindig a M$ rúgta fel a szabványokat, illetve próbálkozott kitartóan a saját maga által kreált, de trehány, rossz, "semmiresejó", "szabványnak hívott" dolgait ráerőltetni a számítógépek világára, ergo: a vásárlókra! Holott nem egyszer kiderült, hogy van azoknál jobb is, pontosan azért, hogy megteremtse magának a piacot (monopóliumot), s ezt követően kaszáljon! Ha tud.

Itt az aktuális példa: a jövőben kereskedelmi forgalmazásra kerülő, új DVD szabványokban (Blue-Ray, HD DVD) "nyakig" benne van a M$, s szerintem már a markát tartja, hogy mikor jönnek a tartalomból eredő jogdíjak stb.

Többek között néhány ország - szerencsére - ezt is felismerte, s tesz is ellene aktívan, pl. szabad szoftverekkel.

Véleményem szerint nem kell minden Amerikából jövő "szemetet" automatikusan átvenni, illeszteni, ráengedni Európára (lásd még: genetikailag módosított kukorica esete az EU-val), hanem, igenis kritikusan kell szemlélni ezeket a törekvéseket.

Ha és amennyiben nincs piac, nincs verseny, csak MONOPÓLIUM, akkor szépen lassan eljutunk a George Orwell által megálmodott/megírt "1984" világába, vagy esetleg az A. Huxley által írt "Szép új világ"-ba. Természetesen amerikai vezetéssel az élen. :-)

Tóth Attila

(a szerző - eredeti végzettségét tekintve - érettségizett szakmunkás, jelenleg help-desk munkakörben tevékenykedik)

Az Archos PMA400 egy Linux-alapú hordozható media lejátszó, szórakoztató/PDA/DVR/Internet eszköz egyben (Pocket Media Assistant). Wireless és Ethernet csatolóval rendelkezik, Mophun stuffokkal és Qtopia-val van felszerelve, és támogatja a Microsoft DRM által védett fileok (WMV, WMA) lejátszását. A cucc 120 órányi MPEG-4 SP video-t vagy 6500 mp3-at képes tárolni.

A gyártó cég hamarosan kiad egy SDK-t a készülékhez. Az ára valahol US$800 körül lesz. A felbukkanás ideje 2005. január.

Az Albacomp Rt. és az UHU Linux Kft. bemutatta a vállalati levelező szerverek védelmére közösen kifejlesztett integrált hardver- és szoftver megoldását, a Styx Mail Filtert. A Styx Mail Filter a vállalat méretétől függetlenül minimálisra csökkenti a vírusok és a levélszemét által okozott közvetlen és közvetett kárt.A Styx Mail Filter egy speciálisan erre a célra kialakított Linux alapú termék. Többfajta védelmi mechanizmussal rendelkezik: többek között globális spamadatbázisok lekérdezésével, a kéretlen levelekre jellemző ujjlenyomatok, ún. fingerprintek keresésével vagy akár a felhasználó által megadott feltételek alkalmazásával. Az eszköz menedzselése webes felületen történik, így a rendszer üzemeltetése, konfigurálása nem jelent nehézséget a rendszergazdáknak.

Albacomp sajtóbejelentés

``A BSD Egyesület e havi összejövetelének (,,BSD sörözés'') helyszine az Országos Nyugdíjbiztosítási Főigazgatóság (ONYF), amely Budapesten, a XIII. kerületben, a Visegrádi u. 49.-ben található. Az összejövetel időpontja 2005. január 14. (azaz a jövő hét péntek), 17:00 és 19:00 óra között.''``Az összejövetelen előreláthatólag Ádám Szilveszter "FreeBSD

dokumentációk és kezelésük" címmel fog előadást tartani. Az előadás után kötetlen beszélgetés lesz.

Minden érdeklődőt szeretettel várunk!

Légrádi Gábor''

Az Adobe Systems kiadta az Acrobat névre hallgató PDF készítő szoftverének 7-es verzióját. A dolog érdekessége, hogy az Adobe már dolgozik a 7-es Acrobat Reader linuxos verzióján. Ez jelenleg beta állapotban van, és letölthető (lesz).Az Acrobat Reader 7 linuxos verziója nem meglepetés, hiszen az Acrobat egyre jobban támogatja a Linuxot. A legutolsó linuxos olvasó az 5-ös volt, a 6-os szériából nem készült Linuxon használható kiadás. Az Acrobat várja a beta tesztelők jelentkezését, de sajnos a jelentkezési oldal csütörtök este óta nem elérhető.

A ZDNet híre itt.

[2005 jan. 6.] USN-54-1 libtiff-tools buffer overflow

[2005 jan. 6.] USN-55-1 imlib2 buffer overflowA frissítés menete:

Tedd az /etc/apt/sources.list file-ba a következő sort:

deb http://security.ubuntu.com/ubuntu/ warty-security main restricted universe

Add ki root felhasználóként vagy a sudo segítségével az alábbi parancsokat:

[2005. jan. 06.] DSA-628 imlib2 integer overflows

[2005. jan. 06.] DSA-627 namazu2 unsanitised input

[2005. jan. 06.] DSA-626 tiff unsanitised input

A frissítésről szóló FAQ-nk.

Ma megjelent az Opera Build 913, azaz a 8.1 beta 1.

Úgy tűnik, hogy a Microsoft kezdi komolyabban venni a biztonságot, mert ma előállt egy saját spyware-ellenes programmal.

Az InternetNews úgy értesült, hogy az Sun Microsystems kész arra, hogy újabb ``jelentős projekt'' kódokat nyisson meg a nyílt forrású közösség számára. Egy a kezdeményezéshez közelálló forrás szerint ez az elkövetkező 10 napban várható.A meglepő az, hogy nem a korábban sokat emlegetett Java-ról, és nem is a Solaris-ról van szó. A forrás szerint a szoftver a GNU General Public License (GPL) alatt lesz terjesztve, és nem a Sun újonnan jováhagyatott Common Development and Distribution License (CDDL) alatt.

A találgatások folynak arról, hogy mi lehet ez a szoftver.

Bővebben itt.

Végre, oly sok izgalom és várakozás után bekerült az ffmpeg a Debian main-be.