A MIT kutatói évente több 10.000 cikket, tanulmányt, fotót, adat filet, audio, video klippeket készítenek. Ezekből többnyire professzionális anyagok lesznek, némelyikből publikáció készül Web oldalakon, vagy számítógépeken tárolódik. Eddig ezeknek az adatoknak nem volt egy rendszerezett elhelyezése.Ezen próbáltak változtatni a MIT dolgozói és a HP munkatársai. Két éves fejlesztés után kiadtak egy szoftvert, a DSpace névre hallgató WEB-alapú "repository"-t, amelyben ezek az adatok szakszerűen tárolhatóak. És a lényeg: a DSpace nyílt kódú (open source) szoftver, bárki által elérhető.

A teljes sztori

Csomag: luxman

Sebezhetőség: helyi rootszerzés

Probléma-típus: helyi

Debian-specifikus: igen

CVE Id: CAN-2002-1245



Az iDEFENSE jelentett egy sebezhetőséget a LuxMan-ban, ami egy labirintusjáték GNU/Linuxra, hasonló a PacManhez. Amikor sikeresen kihasználja egy helyi támadó irási és olvasási hozzáférése van a memóriához, ami ahhoz vezet hogy a helyi root-ot számos módon kompromittálni tudja, például a mester jelszófájl darabjait megkeresheti, vagy módosíthatja a kernel memóriát, hogy a rendszerhívásokat átcímezze.A probléma javítva van a 0.41-17.1 verzióban az aktuális stabil terjesztésben (woody) és a 0.41-19verzióban az instabil terjesztésben (sid). A régi stabil terjesztés (potato) nem érintett a hibában lévén az nem tartalmazza a luxman csomagot.



Javasoljuk a luxman csomagok azonnali frissítését.



Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

András levele:

Szia!

Ajándék a Kerszöv-től

A kiadó az esélyegyenlőség érdekében ingyen hozzáférést biztosít a rendszerváltás óta megjelent valamennyi törvény és országgyűlési határozat eredeti szövegéhez: az UHU-Linuxnak ezt a szövegállományt és a működtető szoftvert - mintegy 50 MB terjedelemben - szabad felhasználásra átadta.Reméljük, hogy a példát látva más cégek is csatlakoznak a
kezdeményezéshez, s hasonló lépésükkel támogatják a szabad szoftverek világát, a legális szoftverhasználatot. Az UHU-Linux következő, hamarosan megjelenő verziója, az UHU-Linux 1.0rc2 tartalmazni fogja a Kerszöv programját, adatbázisát.

Minden leendő felhasználónk nevében KÖSZÖNJÜK! (További részletek a hírről az www.euroastra.com címen találhatóak!)

--

Üdv,

András

UHU-Linux

Október végén egy álláskereső hirdetést küldött be valaki, és akkor eszembe jutott egy régebbi ötletem, hogy meg kellene valósítani egy álláskereső modult itt a HUP-on. Felvetettem a dolgot, és mindenki pozitivan állt hozzás a dologhoz. Nekiálltam, és egy létező valamiből próbáltam a magyar viszonyokat figyelembe véve kialakítani egy ilyen modult.Végül is elkészült a dolog, akár lehet is használni. Amit el szeretnék mondani ezzel kacsolatban: Szeretném ha az álláskeresés kultúrált keretek között zajlana. Ezt csak úgy lehet megvalósítani, ha a rendszer csak valós adatokat tartalmaz. Ezért úgy döntöttem, hogy csak regisztrált felhasználók használhatják a portál eme funkcióját. Továbbá, a szándékosan valótlan adatokat közlő tag hozzáférését azonnal, figyelmeztetés nélkül törlöm. Hogy a dolog egy kicsit , súlyosabb legyen (bár tudom, hogy ez sokaknak nem számít), az álláskeresőből való törlést összekötöttem a portál hozzáférési rendszerével, azaz az álláskeresőből való törlés, a portálról való törlést is magával vonja.

Az Álláskereső működési elve:

Az elve a dolognak nagyon egyszerű, és nem is szándékozom ennél komolyabbá tenni:

Két részből áll az álláskereső. Az egyik oldal az Álláskeresők oldala, a másik a Munkaadóké. Az Álláskereső beregisztrál, megadja adatait, nevét, címét, telefonját, email címét, iskolai végzettségét, és tapasztalatait (jogosítvány, nyelvismeret, stb.). A másik oldalon a Munkaadók a cégük adatait adják meg. Ha valaki regisztrál mint Álláskereső, akkor az önéletrajza bekerül egy adatbázisba, amelyet a Munkaadók tallózhatnak, és a legfrissebb önéletrajzok láthatóak is a Munkaadók oldalon. Ha a Munkaadónak megtetszik egy önéletrajz, akkor "meghívót" tud küldeni az Álláskeresőnek. Az Álláskereső eldönti, hogy érdekli-e a meghívó vagy sem. A meghívó tartalmazza a Munkaadó cég adatait, és a betöltendő munka természetét, fizetést -tól-ig, stb. A meghívóra lehet válaszolni, vagy lehet törölni. Az Álláskeresők tudják keresni a Munkaadók által postázott álláshirdetéseket, szűkíteni tudják a keresést, stb. A fent említett funkciókat a portál motor megvalósítja, tehát nem kell levelezni, egy helyen el lehet intézni mindent.

Megkérnék még egyszer mindenkit, hogy csak az használja ezt a funkciót, aki valóban állást keres. A bizalmas infók miatt javaslom a portált SSL-en keresztül használni. Sok szerencsét a használathoz, remélem, hasznos lesz. Mivel a modul új, bugok lehetnek benne. A bugreportot, kérdéseket a trey@hup.hu email címre várom.

Köszönöm.

-trey-

Az OpenBSD 3.2 úgy lett kiadva, hogy sebezhető benne a kadmind (távoli exploit ha a gép úgy van konfigurálva, hogy kdc legyen (ez nincs így, ha default telepítést választunk)). A javítás elérhető.

Email bejelentés:Date: Tue, 5 Nov 2002 15:39:09 +0000

From: Miod Vallat

To: security-announce@openbsd.org

Subject: OpenBSD 3.2 patch 001 released

OpenBSD 3.2, as shipped, is vulnerable to a kadmind remote exploit if the machine is configured as a kdc (which is not the case in the default install).

A fix addressing this problem is available in the -STABLE branch, and as a standalone patch file, at the following location:

ftp://ftp.openbsd.org/pub/OpenBSD/p...01_kadmin.patch

For more information about errata and patch, please read the OpenBSD errata page:

http://www.openbsd.org/errata.html

Anthony "aj" Towns a Debian "Release Manager" javasolta néhány csomag eltávolítását a testing (Sarge) és az unstable (Sid) terjesztésből. Ezek a csomagok úgy vannak jelölve az RC bugok listájában (RC= release-critical, azaz kiadás-kritikus), hogy [REMOVE]. Ha van olyan csomag amely, a listán van és amelyet használsz, akkor itt az idő, hogy segíts fixálni a hibákat.

Megjelent a Debian közösség szokásos heti hírlevelének, a DWN-nek az ez évi 43-ik száma.



A témákból: Debian biztonsági felmérés, A Debian egy anarchista mozgalom? Alsa hangmodulok telepítése és konfigurálása, A Woody terjesztés frissítése, a /usr/share fájljainak world-readable-nek kell lenniük, TWAIN képbegyüjtés Debiannal, Debianos log-szerver beállítása, X-terminálok beállítása Debianon, licensz problémák az UnrealIRCd-vel, Mi köze a Source CD1-nek a Binary CD1-hez?, Alacsony költségű számítási teljesítmény egy debian alapú disztróval, Benne hagyják az LZW kódokat a forrásfájlokban?, Probléma a szólistákkal, A GNOME1 újracsomagolása, stb.



A hírlevelet elolvashatod itt.

Egy másik hír a Debian alapú disztribúciókról. A Knoppix-ról volt már szó ezen az oldalon többször is [KNOPPIX - teljes értékű Woody, CD-ről,

Knoppix 3.1 kiadás]. A Koppix disztribúció (amely egy Debian alapú Live rendszer, azaz CD-ről fut) készítője Klaus Knopper most, egy GUI telepítőt készített a rendszerhez.Ahogy Knopper elmondja, a Knoppix rendkívül népszerű, könnyen demonstrálható vele a Linux ereje, hiszen nem szükséges telepíteni a számítógép merevlemezére, az egész rendszer a CD-ROM-ról fut, mégis tartalmaz minden olyan dolgot, amely szükséges lehet a napi munka során. Így akár a még jelenleg Windwos (vagy egyéb OS) felhasználói is nyugodtan ki tudják próbálni a Knoppix-ot.

Erről olvashatsz egy cikket itt.

(VIGYAZAT: a cikket Joe Barr írta, úgyhogy óvatosan ;-))

Ingyenes tesztelhetőség, kérésre postázzák a CD-ket!

Néhány szó a SE Linuxról: A Security Enhanced (SE) Linuxot a kezdetekben a National Security Agency (NSA) közreműködésével fejlesztették. 2001. januárjától az NSA bejelentette (az IT világ meglepetésére), hogy a SE fejlesztése és kiadása a GNU General Public License alapján történik.

Egy teljes egészében funkcionáló beta disztribúció érhető el a SE Linuxból, közösségi és vállalati felhasználásra egyaránt.A 3 darabos CD set elérhető itt. A 3 darabos CD set szállítása ingyenes, csak egy kérést kell küldeni a erre az email címre.

"A grafikus telepítővel rendelkező, beta verziójú SE Linuxot Westcam fejlesztette, amely egy szoftver fejlesztő és biztonsági cég."

Szidják a Debiant, hogy milyen ósdi, régi, meg alig fejlődik, de érdekes módon majdnem mindenki erre épít disztribúciót. Emlékezzünk vissza a régi szép napok Corel OS-ére, amelyik az egyik legkönnyebben használható Linux OS volt, amíg a M$ meg nem ölte.Egy alternatíva lehetett volna a windows felhasználóknak, a beleépített WordPerfect szövegszerkesztővel, a könnyű telepíthetőségével, használatával stb. A Corel OS eltűnt, de feltűnt helyette a Xandros. Ez is egy Debian alapú disztró, és ez is a windows luzereket célozza meg elsősorban.

Egy értékelést olvashatsz róla nem szakmai szemmel, hanem egy Unreal Tournament portál szemszögéből itt.

Írtam egy levelet a .deb-es OOo készítőinek (ékes angol szókincsemmel:), hogy van magyar fordítás is. Ezt írták vissza:On Mon, Nov 04, 2002 at 11:06:51PM +0100, balihb@cracker.hu wrote:

> There is a hungarian translation of OOo 1.0.1 exist:

> http://office.fsf.hu/work/

>

> 44 is the newest relase of it.

>

> sorry 4 the distraction.

Are you asking for us to package this? If so, we need a patch against the source, and I can't find one on the website. We don't have enough people to do language merging work as well as maintaining packages. Someone would have to volunteer to help us.

Thanks,

Chris

Ha valaki úgy érzi, hogy valami bővebbet is tudna mondani Chris-nek az írjon erre a címre neki: halls@debian.org

Ugye nem felejtettük el, hogy szombaton (november. 9) LME konferencia?

Nem tudom miért kapok én számos levelet, mert igazából semmi közön nincs az egész szervezéséhez. Maximum annyit tettem, hogy közöltem két hírt az LME konferenciával kapcsolatban.... Ennek ellenére legalább 20 levelet kaptam, amelyben az alábbi kérdéseket feszegetik a levélírók (mivel én nem tudom rájuk a választ, ide írom, hátha olvassa illetékes az oldalt):

FAQ-k:

1. Nem regisztráltam, lehet-e a helyszínen jegyet kapni?

2. Érdemes messziről jönni? Lesz elég hely?

3. Lesz a helyszínen parkoló?

4. Tuti lesz jegy a helyszínen?

Szóval aki tudja a választ (autentikusan) az kérem írja meg.

A FreeBSD-s Murray Stokely új i386 snapshot-ot (20021103) és ISO image-t nyomott az ftp-masterre. Ezt megtalálod:

ftp://ftp.freebsd.org/pub/FreeBSD/snapshots/i386/

Csomag: apache-ssl

Sebezhetőség: számos

Probléma-típus: távoli, helyi

Debian-specifikus: nem

Elmulasztja a hiányérzetem: igen

CVE Id: CAN-2002-0839
CAN-2002-0840
CAN-2002-0843
CAN-2001-0131
CAN-2002-1233

BugTraq ID: 5847
5884
5887



David Wagner, az iDEFENSE és az Apache HTTP Szerver Projekt szerint, számos távolról kihasználható sebezhetőséget találtak az Apache csomagban, ami egy általánosan használt webszerver. A kód nagyrésze közös az Apache és az Apache-SSL csomagokban, így a sebezhetőségek is közösek.
Ezek a sebezhetőségek lehetővé teszik egy támadónak, hogy végrehajtsanak egy szolgáltatás letiltására vonatkozó támadást (DoS) a szerver ellen, vagy keresztszkriptelési támadást hajtsanak végre vagy sütiket lopjanak más weboldalak felhasználóitól. A htdigest, htpasswd és ApacheBench-ből származó programokat szintén fel lehet törni CGI-n keresztül. Továbbá a nembiztonságos átmenetifájlkezelést a htdigestben és htpasswd-ben szintén ki lehet használni helyben. A Common Vulnerabilities and Exposures (CVE) projekt azonosította a következő sebezhetőségeket:1. CAN-2002-0839: A vulnerability exists on platforms using System V shared memory based scoreboards. This vulnerability allows an attacker to execute code under the Apache UID to exploit the Apache shared memory scoreboard format and send a signal to any process as root or cause a local denial of service attack.



2. CAN-2002-0840: Apache is susceptible to a cross site scripting vulnerability in the default 404 page of any web server hosted on a domain that allows wildcard DNS lookups.



3. CAN-2002-0843: There were some possible overflows in the utility ApacheBench (ab) which could be exploited by a malicious server.



4. CAN-2002-1233: A race condition in the htpasswd and htdigest program enables a malicious local user to read or even modify the contents of a password file or easily create and overwrite files as the user running the htpasswd (or htdigest respectively) program.



5. CAN-2001-0131: htpasswd and htdigest in Apache 2.0a9, 1.3.14, and others allows local users to overwrite arbitrary files via a symlink attack.

Ez ugyanaz a sebezhetőség mint a CAN-2002-1233, amit már a potatóban javítottak, de később elveszett, és soha nem alkalmazta az upstream.



5. NO-CAN: Several buffer overflows have been found in the ApacheBench (ab) utility that could be exploited by a remote server returning very long strings.



A problémák javítva vannak a 1.3.26.1+1.48-0woody3 verzióban, az aktuális stabil terjesztésben (woody), illetve a 1.3.9.13-4.2 verzióban a régi stabil terjesztésben (potato). Javított csomagok az instabil terjesztéshez (sid) hamarosan várhatók.



Javasoljuk, hogy azonnal frissítsd az Apache-SSL csomagjaid.



Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Mobiltelefon tulajdonosok: lehet frissíteni a bookmarkokat a telefonokban. Nekem működik a WAP.hup.hu (nokia 9110i), bár ez nem jelenti azt, hogy nektek is ;-)

Talán még sokan keresnek egy hatásos IDE-t világmegváltó szoftverjeik kifejlesztéséhez. Örömmel tudathatjuk, hogy közép-európai idő szerint ma hajnalban megjelent a már jól ismert Anjuta DevStudio fejlesztő környezet 1-es stabil verziója. Az Anjuta .1.9-es verziója, II. 14.-n jelent meg, úgyhogy ez került a WOODY-ba. A végleges stabil 1-es kiadásnak augusztusban készült el a bétája, úgyhogy a beportolás nagy esemény lesz, főleg, mivelhogy a nagy rivális DevC++ még sehol sincsen:Az Anjuta - (nevezhetjük anyukának is) - egy GNOME-os progi, elvileg már támogatja a GNOME 2-s dolgokat, úgyhogy, ha már jól bejárattuk a GNOME 2-t és tetszik, akkor biztos be fog jönni. Ezen felül rendkívül komoly i18n supporttal rendelkezik, bár mi magyarok ebben is le vagyunk maradva, úgyhogy akár az ovisok is könnyen írhatnak GCC progikat. Ezeknél azonban sokkal komolyabb new-kat is tartalmaz. Pl.: rendkívül fejlett verzió-követést, Mime-handling-et, a debuggerhez ghex jellegű hex, advanced Find cuccok, sok hover feature...

Randy Dunlap [rddunlap@osdl.org] frissítette a swap mini-HOWTO-ját, így én is megtettem ezt. A magyar nyelvű változat itt.

2002. szeptembere végén 3214 csomag volt található a NetBSD Csomag Gyűjteményben, ez a szám 110-zel több mint az azt megelőző hónapban volt. Akkor 3104 csomagot találhattunk a port kollekcióban.

Email bejelentés (megtalálod benne a "hónap csomagjai díj győzteseit is"):

Date: Mon, 4 Nov 2002 19:08:08 +0100

From: Alistair Crooks

To: netbsd-announce@netbsd.org

Subject: Summary of Changes to the NetBSD Packages

Summary of Changes to the NetBSD Packages Collection in September 2002

==========================================

By my calculations, at the end of September 2002, there were 3214 packages in the NetBSD Packages Collection, up from 3104 the previous month, a rise of 110.

The following packages were added to the Packages Collection: 3DKit, acroread5-chsfont, acroread5-chtfont, acroread5-font-share, acroread5-jpnfont, acroread5-korfont, bash-doc, bbapm, bktr2jpeg, bzflag, c4, cdrecord-devel, cvs2p4, dctc, dc_gui, ddskk, distfetch, emacs-w3m, faad2, gail, GeometryKit, ghostscript-esp, ghostscript-esp-nox11, ghostscript-gnu, ghostscript-gnu-nox11, ghostscript-gnu-x11, giblib, gice, gimp-print-ijs, GlutKit, GLXKit, gnome-desktop, gnome-pixmaps, gnome-pixmaps2, gnome-session,

gnome-vfs2, gnome2-control-center, gnome2-pixmaps, GNUMail, gnustep-back, gnustep-base, gnustep-examples, gnustep-gui, gnustep-make, gnustep-objc, gnustep-preferences, gtk-engines, gtkspell, GWLib, gworkspace, hpijs, ijs, ImageViewer, ja-dvipdfm,

jpeg2ps, kyim, lib3ds, libbonoboui, libesmtp, libevent, libgnome, libgnomecanvas, libgnomeprintui, libgnomeui, libgtkhtml, libmilter, libwnck, liece, lookup, mimedefang, mirrormagic, mserv_irman, mule-ucs, netscape7, p4, p4-docs, p4d, p4pr, p4web, p5-Apache-Gallery, p5-Inline, Pantomime, pfaedit, pkg_comp, pvs, R-grid, R-lattice, RenderKit, rexx-imc, rexx-regina, rt-mysql, rt-pgsql, sablecc, scummvm, SDLKit, static-bash2, tc, tremor, tremor-tools, tuxpaint, tuxpaint-stamps, visual-regexp, xkbset, zope, zope25-CMF,

zope25-EasyImage, zope25-Formulator, zope25-JPicture, zope25-LocalFS, zope25-ParsedXML, zope25-Silva, zope25-XMLWidgets, and zope25-ZPhotoSlides.

The following packages were updated: 6to4, abcde, abiword-personal, acidlaunch, adjustkernel, adzap, airportbasestationconfig, ap-xslt, apache, apache6, aperture, apla, arla, atk, auctex, autoconf-devel, automake, automake-devel, balsa, bash, bbkeys, bidwatcher, bins,

blackbox, boehm-gc, bonnie++, bonobo-activation, bozohttpd, cdpack, cftp, cheesetracker, communicator, cpuburn, cpuflags, crafty, createbuildlink, cue, cups, cvs2p4, cvsps, cvsup, cvsup-gui, cvsweb, dctc, dc_gui, dejagnu, demime, dgd, dia, drac, eagle, easytag, ee,

efax-gtk, eggdrop, ekg, epic4, esound, etcupdate, ethereal,

everybuddy, everybuddy-gnome, evolution, feh, fetchmail,

fetchmailconf, ffcall, fileutils, flac, flac-xmms, flawfinder,

freebsd_lib, fvwm2, gabber, gaim, gaim-gnome, gal, galeon, Gauche, gcdmaster, GConf2, gdk-pixbuf, gdkxft, gentoo, ggv, ghostscript-gnu, ghostscript-gnu-nox11, ghostscript-gnu-x11, gimp-print, glade, glib2, gnapster, gnome, gnome--, gnome-chess, gnome-core, gnome-desktop, gnome-games, gnome-utils, gnome-vfs2, gnomeicu, gnotepad, gnucash,

gnumeric, gnustep-base, gnustep-make, gphoto, gqmpeg, grace, gtk--, gtk-gnutella, gtk2+, gtkballs, gtkdiff, gtkhtml, gtm, guppi, haskell-mode, htmldoc, htmldoc-x11, imap-uw-utils, ipadic, irrd, jdbc-postgresql, jpilot, jpilot-expense, jpilot-syncmal, jpilot-synctime, kannel, kde2, kde3, kdelibs, kdepim, latex2html, lbreakout2, leafnode, libart2, libbonobo, libbonoboui, libglade2, libgnomeprint, libgnomeui, libiconv, libIDL, libsigc++, libsndfile, libwmf, libxml2, libxslt, libyahoo, linc, linda, links, links-gui,

malsync, mencoder, metacity, mirrormagic, mlterm, mplayer,

mplayer-share, mrproject, mrtg, mserv_irman, msudir, mutt, namazu2, napshare, navigator, nawk, netatalk, nntpclnt, ns-flash, ns-plugger-common, ns-plugger-communicator, ns-plugger-navigator, ns-remote, nsd, ogle, ogle_gui, openldap, openslp, ORBit2, oregano, oto, p5-IO-Socket-SSL, p5-Jcode, p5-Net-SSLeay, p5-pilot-link, p5-SSLeay, p5-Text-Iconv, p5-URI, p5-XML-LibXML, pan, pango, pcre,

peace, pedisassem, php4-domxml, php4-xslt, pilot-link,

pilot-link-libs, pkgchk, pkgconfig, pkglint, pkg_comp, ploticus,

popa3d, postgresql-autodoc, prboom, proftpd, psiconv, pyxml, R, R-boot, R-cluster, R-foreign, R-mgcv, R-nlme, R-recommended, R-rpart, R-survival, R-VR, rats, rconfig, rioutil, rox, rox-session, ruby-drb, ruby-iconv, sablotron, scmxx, sendmail, silc-client, silc-server, sml-nj, sodipodi, spamassassin, squirrelmail, sylpheed, t1lib, tamago,

tcl-otcl, TeXfamily, TeXfamily-share, TeXmacs, tuxpaint,

tuxpaint-stamps, vice, w3m, wget, wistumbler, wmnet, wv, wwwoffle, xboard, xbreaky, xchat-gnome, xcin, xfstt, xlHtml, xmms, xmradio, xpdf, xpmroot, xpp, and zebra.

The Package of the Month award is a three-way tie:

1. to pkgsrc/net/hping, nominated by Andrew Brown. hping was inspired by the ping(8) command, but as well as ICMP, it supports TCP, UDP, ICMP and RAW-IP protocols, has a traceroute mode, the ability to send files using a covert channel, and many other features.

2. pkgsrc/audio/mserv_irman, nominated by the hastily-recovered David Brownlee. mserv_irman is only of use to people with an irman from evation.com and a desire to have many people listen to the same mp3 jukebox without bloodshed :)

3. pkgsrc/emulators/generator, nominated by Alexander Crooks (relation). For those moments when the S Club 7 CD just won't suffice...

Alistair Crooks

Thu Oct 3 07:33:07 BST 2002

A CIA egyik legújabb terrorizmusról szóló jelentésében az olvasható, hogy Cyberháború fog kezdődni az amerikai informatikai infrastruktúrák ellen, a támadások száma növekedni fog a jövőben. A jelentés szerint a nagy terrorista csoportok, mint az al-Qaeda és a Hizballah egyre jobban felkészült emberekkel vannak ellátva, egyre több köztük a képzett számítástechnikai szakember. A növekvő Cyber fenyegetések hírét az FBI is megerősíti. A jelentés kiemel egy csoportot, amely az Aleph névre hallgat, és amely bizonyítja a terrorista csoportok létezését.

A teljes jelentés itt.

Martin Schulze [joey@infodrom.org] egy levelet küldött a debian-devel-announce@ -ra, amelyben feltette a kérdést, hogy meddig akarjuk használni a Debian 2.2 aka. Potato terjesztést? Hiszen a security csapatnak plusz munka, hogy ehhez a terjesztéshez is el kell készíteni a biztonsági frissítéseket.

Martin az alábbi kérdéseket intézte a felhasználókhoz:1. Mennyi ideig terveznek várni, mielőtt frissítik a potato gépeiket woodyra?

2. Mennyi ideig szeretnék, hogy a Debian Security Team támogassa a potatot?

3. Mennyi potato gép van még "termelésben"

Úgy tűnik, hogy a potato lassan pályafutásának végére ér.

R.I.P.

Martin levele

Megjelent a legújabb fejlesztői Linux kernel. Szám szerint a 2.5.46-os.

Letölthető patch-2.5.46.gz, FULL

Változások itt

Átírtam az egész Wap modult, mert voltak benne hibák (hiába na, jobb ha az ember saját maga csinál dolgokat, és nem bízik az előre elkészített cuccokban). A visszajelzésekből az jött le nekem, hogy sokan olvassák az oldalt mobil eszközről.

Kéretik továbbra is bugreportolni, mert csak így tudom a hibákat kijavítani. Jó hír, hogy megtettem az előkészületeket a wap.hup.hu beregisztrálására, lassan kész lesz.

Addig is:

http://www.hup.hu/modules.php?name=Wap

(Operával is lehet tesztelni) - bugreport: trey@hup.hu

Csomag: apache

Sebezhetőség: számos

Probléma-típus: távoli, helyi

Debian-specifikus: nem

CVE Id: CAN-2002-0839
CAN-2002-0840
CAN-2002-0843
CAN-2001-0131
CAN-2002-1233

BugTraq ID: 5847
5884
5887



David Wagner, az iDEFENSE és az Apache HTTP Szerver Projekt szerint, számos távolról kihasználható sebezhetőséget találtak az Apache csomagban, ami egy általánosan használt webszerver. Ezek a sebezhetőségek lehetővé teszik egy támadónak, hogy végrehajtsanak egy szolgáltatás letiltására vonatkozó támadást (DoS) a szerver ellen, vagy keresztszkriptelési támadást hajtsanak végre. A Common
Vulnerabilities and Exposures (CVE) projekt azonosította a következő sebezhetőségeket: (Kivételesen angolul meghagyom, mert annyi van:-) )1. CAN-2002-0839: A vulnerability exists on platforms using System V shared memory based scoreboards. This vulnerability allows an attacker who can execute under the Apache UID to exploit the Apache shared memory scoreboard format and send a signal to any process as root or cause a local denial of service attack.



2. CAN-2002-0840: Apache is susceptible to a cross site scripting vulnerability in the default 404 page of any web server hosted on a domain that allows wildcard DNS lookups.



3. CAN-2002-0843: There were some possible overflows in the utility ApacheBench (ab) which could be exploited by a malicious server.



4. CAN-2002-1233: A race condition in the htpasswd and htdigest program enables a malicious local user to read or even modify the contents of a password file or easily create and overwrite files as the user running the htpasswd (or htdigest respectively) program.



5. CAN-2001-0131: htpasswd and htdigest in Apache 2.0a9, 1.3.14, and others allows local users to overwrite arbitrary files via a symlink attack.

Ez ugyanaz a sebezhetőség mint a CAN-2002-1233, amit már a potatóban javítottak, de később elveszett, és soha nem alkalmazta az upstream. (lol:-) - gyu)



5. NO-CAN: Several buffer overflows have been found in the ApacheBench (ab) utility that could be exploited by a remote server returning very long strings.



A probléma javítva van a 1.3.26-0woody3 verzióban, az aktuális stabil terjesztésben (woody), illetve a 1.3.9-14.3 verzióban a régi stabil terjesztésben (potato). Javított csomagok az instabil terjesztéshez (sid) hamarosan várhatók.



Javasoljuk, hogy azonnal frissítsd az Apache csomagjaid.


Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

Jos Hulzink [josh@stack.nl] egy hosszú threadet generált az LKML-en azzal, hogy levelében egy felhívást tett közzé a kernelfejlsztőknek. A benyújtott "petíció" oka az, hogy Jos a 2.5.45-ös kernelben nem tudta engedélyezni a PS/2 billentyűzetét, és egerét egyszerűen. Ahhoz, hogy engedélyezni tudja a billentyűt és az egeret 4 menüpontot kellett bekapcsolnia. A hiba nálam is jenetkezett, amikor egyszerűen átmásoltam a 2.4 kernel .config fileját a 2.5 fába, és kiadtam a "make oldconfig" parancsot. A szkript hiba nélkül lefutott, de mégis voltak problémák a kernelfordítás során. Jos azt kérte a fejlesztőktől, hogy ne kelljen már ilyen bonyolultan beállítani a billentyűt és az egeret.Többen támadták ez miatt. Mondván, hogy a 2.5-ös kernel még nincs kész, fejlesztői verzió, így nem 100%-os. Valaki javasolta, hogy a kernel konfigurátor jelezze, ha valaki egyik nagyobb kernelverzió .config-ját akarja beleilleszteni egy másik nagybb verzió fájába (pl. 2.4->2.5), volt aki melléállt. Jeff Garzik megjegyezte, hogy Ő is belefutott ebbe a problémába, és a környezetében még többen is. Szerinte nem normális, hogy egy olyan eszköz, ami a számítógépek 90%-án megtalálható (PS/2 billentyűzet), az bonyolult menüpontok bekapcsolása után válik csak lehetővé. Jeff szerint dokumentálni kellene az Input IO driverek változásait. Dave Jones szerint ez kevés. A múlt héten írt egy dokumentációt amelyben szerepeltek ezek a beállítások, és így is majdnem 3000 direkt megkeresést kapott, ezenkívül a dokumentációja 7000 találatot kapott, szóval nem kevés ember szaladt bele ebbe a hibába.

Jelenleg így néz ki a billentyűzet és az egér bekapcsolása:

--- Input I/O drivers

Serial i/o support

i8042 PC Keyboard controller

[ ] Keyboards

[ ] Mice

A thread itt kezdődik.

Alan Cox legújabb foltja.

Töltsd, forgasd, bugreportolj!

Letölthető [még nem elérhető a kernel.org-on]

Változások Alan levelében:From: Alan Cox

To: linux-kernel@vger.kernel.org

Subject: Linux 2.5.45-ac1

Date: 04 Nov 2002 12:23:08 -0500

** I strongly recommend saying N to IDE TCQ options otherwise this should hopefully build and run happily.

This is very much a merge and aimed at getting stuff to build rather than for running and testing seriously

Linux 2.5.45-ac1

- Merge Linux 2.5.45

- ISDN diversion no longer builds (didnt work anyway)

- NFSv4 no longer builds

o Put MAINTAINERS back in order (me)

o Revert dangerous looking ncr53c8xx change (me)

o Revert dangerous looking sym53c8xx change (me)

o Revert dangerous looking inia100 changes (me)

o Revert dangerous looking ql1280 changes (me)

o Fix Qt check (Roman Zippel)

o Initial move of megaraid to new eh (me)

o Fix megaraid sleep/wakeup races (me)

o Remove various bits of megaraid 2.0/2.2 stuff (me)

o Fix build of ipmr (Adam J Richter)

o Fix cpqfc asm (me)

o Fix sbp2 build (me)

o Fix mpt fusion build (me)

o Fix i2o_scsi build (me)

o Minimal new_eh/locking fixes for ultrastor.c (me)

o Correct NCR5380 locking again (me)

| Eventually I'll get it all right !

o Make i2o_scsi more polite about error recovery (me)

o Update eata_pio to new_eh and also clean up (me)

the scsi comamnd direction handling

o Fix fd_mcs compile (me)

o Fix u14f/34f compile (me)

o Move ibmmca to new_eh basic bits (me)

o Fix eata build (me)

o Switch inia100 to new_eh (me)

o Fix nsp_cs build (me)

o Disable PnPBIOS on Gateway 5300 (me)

o PMTU build fixes (Adam J Richter)