Csomag: libapache-mod-ssl, apache-ssl

Támadhatóság: puffer-túlcsordulás

Probléma típus: távoli

Debian specifikus: nem



A hibáról a DSA-120-1 jelentésben olvashatsz.

A frissítésről a FAQ idevonatkozó fejezetét olvasd el.Ed Moyle nemrégiben hibát talált az Apache-ssl és az apache-mod-ssl kódjában. Ha a "session" cache engedélyezve van, akkor a mod_ssl sorban eltárolja a "session"-hez tartozó változókat. Ezeket a változókat egy fix méretű pufferben tárolja, megfelelő határellenőrzés nélkül.



Hogy a hibát ki lehessen használni, a szervert úgy kell konfigurálni, hogy a klienstől Tanúsítványt (Certificate) kérjen, és a támadónak adnia kell egy gondosan előkészített kliens tanúsítványt, amit aláírt egy olyan Tanúsítványkiállító Hatóság (Certificate Authority) amelyben a szerver megbízik. Ha ezek a feltételek egyszerre teljesülnek, lehetséges, hogy a támadó tetszőleges kódot tud futtatni a szerveren.



A Debian stable disztribúciójában a hiba javítását a 1.3.9.13-4 verzió tartalmazza az apache-ssl-hez és a 2.4.10-1.3.9-1potato1 verzió a libapache-mod-ssl-hez. A Debian unstable/testing disztribúciójában a 1.3.23.1+1.47-1 verzió tartalmazza az apache-ssl és a 2.8.7-1 verzió tartalmazza a libapache-mod-ssl javítását.

Kijött ma éjjel a 8.2 béták után végre az első rc1.


Letölthető a szokásos mirrorokról ill gyors magyar mirrorról.

Azért 23 másodperc alatt fordítani Linux kernelt nem rossz eredmény. Az LKML egyik tagja egy levelet postázott, miszerint egy 16 utas NUMA klaszteren ennyi idő alatt fordult le a stuff. A NUMA technológiát az IBM-nek és az SGI-nek köszönhetik.

Egy évvel ezelőtt egy Sequent NUMA-Q 100.000$-t kóstált.

"time make -j32 bzImage"

(16 way NUMA-Q, 700MHz P3's, 4Gb RAM).

A fordítást több kernelen is kipróbálták, Molnár Ingó patch-ét használva a fordítási idő leesett 47 sec-ről 30 sec-re.

Úgy tűnik, hogy megjelent a legfrissebb Linux OS alatt NVidia kártyákat meghajtó driver. Ez a build a 1.0-2802-es.

1.0-2802 főbb jellemzők:

- GeForce4 és Quadro4 támogatás (támogatott kártyák listája) - OpenGLŽ 1.3 NVIDIA kiterjesztésekkel

- Továbbfejlesztett IGP és mobil támogatás

- Overlay támogatás a Quadro termékekhez

- MPEG támogatás a GeForce4 MX-hez

- Anisotropic filtering támogatás

Bővebb információ, letöltés itt.

Megjelent a fejlesztői Linux kernel legújabb kiadása.

Letölthető a mirrorokról.

Változások logja itt

Csomag: openssh

Sebezhetőség: local root exploit, távoli kliens exploit

Debian-specikus: nem

Joost Pol bejelentette, hogy az OpenSSH a 2.0 verziótól a 3.0.2 verzióig bugot tartalmaz a csatorna allokációs kódban. Ezt kihasználva az autentikált lokális felhasználó root jogokhoz juthat, és a távoli felhasználó rosszszándékú támadást intézhet a szerver ellen.

A Debian 2.2 (potato) az OpenSSH (az "ssh" csomag) 1.2.3 verzióját tartalmazza, ez nem sebezhető, így frissítés nem szükséges.

A Debian Woody felhasználóknak viszont legalább a 3.0.2p1-8 patchlet verziót kell használniuk. A debian archivok már ez a verziót tartalmazzák.

A frissítés mikéntjéről lásd a FAQ idevonatkozó részét.

A hiba eredeti leírását a DSA-119-1 hibajelentésben találod meg.

Miután hosszasan egyeztettünk Andrással, megszülettek a végleges válaszok. Íme:

trey: Kik az UHU Linux fejlesztői?

András: Az UHU fejlesztői 20-26 év közötti fiatalok. A tesztelőket nem hagynám ki a csapatból, de azt hiszem Ők is beleférnek (néhány kivétellel +/- 10 év), ebbe az intervallumba! :o)

trey: Mit jelent, jelképez az UHU név?

András: :o) Nem kell mögötte mágiát keresni, az UHU eredetileg a "juhhu"-ból (mint felkiáltás) ered. Ezt persze nem hinné el senki, ezért kitaláltuk a linUx Hungary -t is. :o)

trey: Főállásban készítitek az UHU -t, vagy csak hobbi?

Egy interjút olvashatsz itt nemsokára (akár órákon belül) Andrással, az UHU Linux fejlesztésének vezetõjével.

Mivel az UHU Linuxról megoszlanak a vélemények (egészen onnan kezdve, hogy az égig magasztalják, addig hogy ``anyázásba" mentek át a dolgok) eldöntöttem, hogy felteszek néhány kérdést a készítõknek.

Nem csak a szokványos protokoll kérdéseket tettem fel, hanem megpróbáltam összegyûjteni elõtte azokat a kérdéseket, amelyek az embereket foglalkoztatják.

András készségesen válaszolt a legtöbb kérdésre, viszont voltak olyanok amelyekre nem kívánt válaszolni. Ezt megértem, bár privátban elmondta ezekrõl is a véleményét.

Kiadták az OpenSSH 3.1p1 -et. Lassan letölthető lesz a honlapról és a mirrorok-ról.

A mirror listát megtalálod a http://www.openssh.org/-on.

Frissíthető anonymous CVS -ből is:

cvs -d :pserver:cvs@bass.directhit.com:/cvs login


cvs -d :pserver:cvs@bass.directhit.com:/cvs co openssh_cvs

[ jelszó helyett üss egy enter -t ]

Az OpenSSH 100% -ban teljes implementációja a 1.3, 1.5 és a 2.0 SSH protokolnak és tartalmazza az sftp client és server (secure ftp kliens és szerver) támogatást. Ebben a kiadásban portabilitási bugfixek (a lista a changelog -ban), és néhány új funkció kapott helyet.

A főbb változásokról, új funkciókról itt olvashatsz.

Az OpenSSH honlapja:


http://www.openssh.org.

Az OpenSSH 3.1p1 forrássa letölthető innen.



Ez a release remélhetőleg javítja a nemrég felfedezett OpenSSH bugot. A frissítés erősen ajánlott.

Megjelent Alan Cox 2.4.19pre2-es kernelhez készült -ac3 javítófoltja. Többnyire bugfixek ``merge"-je és dokumentáció frissítés jellemzi. Több anyag még a várólistán van.

Letölthető innen.

Változások:From: Alan Cox

Sent: Thursday, March 07, 2002 9:16 AM

Subject: Linux 2.4.19pre2-ac3

Mostly just merging some of the clearly correct bug fixes and some doc fixups this time. Lots of stuff is still in the queue.

[+ indicates stuff that went to Marcelo, o stuff that has not,

* indicates stuff that is merged in mainstream now, X stuff that proved bad and was dropped out]

Linux 2.4.19pre2-ac3

o Fix quota deadlock and extreme load corruption (Jan Kara, Chris

Mason)

+ MIPS config fix (Ralf Baechle)

+ Update AGP config entry (Daniele

Venzano)

+ SMBfs NLS oops fix (Urban Widmark)

o Fix expand_stack locking hang on OOM (Kevin Buhr)

o Restore 10Mbit half duplex eepro100 fix (me)

o 3c509 full duplex and documentation (David Ruggiero)

o 3c509 power management (Zwane

Mwaikambo)

+ Remove more surplus llseek methods (Robert Love)

o ATM locking fix (Frode Isaksen)

o Merge extra sound help texts (Steven Cole)

| plus one typo fix

o Add help for IXJ pcmcia configuration (Steven Cole,

me)

| Rewrote the text somewhat

A legújabb Linuxvilágban megjelent egy újabb cikk az MPlayerről, ezúttal 4 oldal terjedelemben.


Miután már hetek óta beharangozták a honlapjukon, elkészültünk még egy Joe Barr szintű valamire, de kellemesen kellett csalódnunk, ezúttal tényekre, rtfm-re alapozott cikk jelent meg.


Felhasználók számára érthető módon (értsd: lamerstyle ;)) megy végig a telepítés lépésein, közben apránként adagolja a feature listet :)


A cikk sajnos nem olvasható online (legalábbis publikus helyen :)).

A'rpi

Hibát talált az OpenSSH-ban Joost Pol. Az általa kiadott közlemény erről itt olvasható. A hiba az OpenBSD-ben három napja, a FreeBSD-ben tegnap lett javítva. A Debian még nem adott ki hibajegyet.

A javított verzió az OpenSSH 3.1-es, ajánlott mindenkinek erre a verzióra frissíteni. A hiba javítása igen könnyű, lásd az OpenBSD CVS-ében történt változtatást.

Megjelent az ez évi tizedik DWN kiadás, a Debian közösség heti hírlevele.

A tartalomból:

- DebConf 2 Torontóban


- A Debian Vezetők választási kampánya


- GUI alkalmazások írása PHP-ban


- Woody kiadásának státusza


- GNU/Linux Web böngésző áttekintés


- Gnome-Print gondok a Sid-ben


- Woody Release Notes


- Új csomagok a Debianban


- Biztonsági frissítések


- Elárvult csomagok (orphaned packages)

A hírlevelet elolvashatod itt.

Rendületlenül halad a FreeBSD Sparc64-es portja (ha így folytatják a fiúk, talán már az 5-ösnek a része is lehet :). A legújabb hír ebben a kategóriában Jake Burkholder bootolható CD-je. A FreeBSD/sparc64-es portról a port weblapján lehet bővebb információkat szerezni, az ISO pedig Jake holnapjáról tölthető le.

Március elsején megjelent az IP Filter csomagszűrő 3.4.24-es verziója. Lássuk milyen újdonságokat tartalmaz!Mi is az az IP Filter? Egy multiplatformos állapotkövető (stateful) csomagszűrő.

Jelenleg a következő operációs rendszerekhez elérhető:

• Solaris/Solaris-x86
• SunOS 4.1.1 - 4.1.4
• NetBSD
• FreeBSD
• BSD/OS
• IRIX
• OpenBSD
• HP-UX
• QNX

Az alapvető csomagszűrési képességeken felül tartalmaz néhány egyszerű beépített proxyt (FTP, H.323, IPsec, NETBIOS, Real Audio, RCMD) is.


A 3.4.24-es verzió újdonságai:

-fix how files are installed on SunOS5

-fix some minor problems in SunOS5 ipfboot script

-by default, compile all OpenBSD tools in 3.0 for IPv6

-fix NULL-pointer dereference in NAT code

-make a better attempt at replacing the appropriate binaries on BSD systems

-always print IPv6 icmp-types as a number

-impose some rules about what "skip" can be used with

-fix parsing problems with "keep state" and "keep state-age"

-try to read as much data as is in the log device in ipmon

-remove some redundant checks when searching for rdr/nat rules
-fix bug in handling of ACCT with FTP proxy

-increase array size for interface names, using LIFNAMSIZ

-include H.323 proxy from QNX


Letölthető a következő helyről:

ftp://coombs.anu.edu.au/pub/net/ipfilter/ip_fil3.4.24.tar.gz

Az IP filtert használók örülhetnek, az ipfstate-hez hasonló program már Linuxra is elérhető ezen a címen. Az ipfstate többek között képes a tophoz hasonló kimenetet produkálni, annyi különbséggel, hogy a csomagszűrő adataiból dolgozik.

Sok embert lázba hoz a magas uptime (az idő, ami óta a számítógépen futó operációs rendszer "talpon" van, azaz annak indításától eltelt idő), azonban nem árt elfelejteni, hogy ezt igen könnyű manipulálni. Egy példa OpenBSD-re, a ddb használatával... :)# uptime

11:23AM up 11 hrs, 3 users, load averages: 1.22, 0.87, 0.67

# [halt - elküldve]

ddb> exa boottime+0x4

boottime+0x4: 3c7c1904

ddb> w boottime+0x4 30000000

boottime+0x4 0x3c7c1904 = 0x30000000

# uptime

11:24AM up 2424 days, 18:12, 3 users, load averages: 1.19, 0.95, 0.72

#

Elkészült a cdw-0.1.3 CD író program legújabb verziója, amely egy frontend a cdrecord-ra és az mkisofs-re. Sok újítás és javítás van az új kódban. A legfrissebbek: adat CD másolás, CD image másolás, Teszt írás, Közvetlen írás. Minden hozzászólást szívesen fogadok. Letölthetö innen.

vbali


e-mail: vbali@westel900.net

Csomag : xsane


Sebezhetőség : nem biztonságos átmeneti fileok


Probléma-típus : helyi


Debian-specifikus : nem

Tim Waugh több nem biztonságos átmeneti filet talált az xsane programban, amelyet scannelésre használhatunk.

A problémát az 0.50-5.1 verzió javítja a debian stable disztribúciójában, és az 0.84-0.1 verzió az unstable/testing verziókban.

A frissítés mikéntjéről lásd a FAQ idevonatkozó részét.

A hiba eredeti leírását a DSA-118-1 hibajelentésben találod meg.

Megjelent a Mandrake Linux 8.2 negyedik BETA kiadása. A fejlesztők szerint a BETA3 már szépen működött a legtöbb hardveren, de a BETA4 az igazi. Megoldották a telepítéskori CD csere problémát, úgyhogy minden szép, és jó.

A BETA4 nagyon korán reggel lett kész (lehet majd rá hivatkozni később, ha valami nem jó =)).

A mirrorok listája megtalálható itt.

Hogy mik az újdonságok a BETA4-ben, megtalálod itt.

Megjelent az én gondozásomban egy amolyan Linux kernel-fordítás féle.



Letöltheted (és megnézheted a 'live demo'-t :) az xes.sch.bme.hu/rec/pinglin címen.



(értelme a dolognak természetesen nincsen:)

Megint új funkcióval bővült az UHU-Linux weblapja. Bevezettük a heti szavazást, a kérdésekre adott válaszok az UHU kialakítását segítik. Az első heti kérdésünk: vajon a GNOME, vagy a KDE jön be jobban egy kezdőnek?



www.uhulinux.hu

Egy veszélyes bug csúszott be a FreeBSD 4.5-RELEASE-be. A bug filerendszer hibákat okozhat akkor, ha nagy diszk terhelés után állítjuk le a rendszert. A hiba sajnos nem jelent meg egy nagyobb listán sem, egészen addig amíg egy kívülálló fel nem fedezte.

A FreeBSD hibajegyzékének (errata) oldaláról:

A bug fixálva van a soft updatekben. A hiba esetenként filerendszer korrupcióhoz vezethet, ha a rendszert azonnal leállítjuk valamilyen nagyobb diszk terhelés után. Ilyen terhelés lehet az új kernel installálása, vagy új szoftver telepítése. A rendszer nem üríti ki (flush) teljesen az összes puffert. A problémát át lehet időlegesen hidalni a ``sync(8)" parancs használatával, amelyet kevéssel a reboot előtt kell lefuttatnunk. A hiba már javítva van az újabb FreeBSD 4.5-STABLE snapshotokban.

A múlt heti főpróba után, végül tegnap megjelentek a friss potato extra CDk az fsn debian-unofficial szekciójában.

A tartalomról röviden:

• 2.2 r2-ről 2.2 r5 upgradehez szükséges csomagok
• 2.2 r5 óta megjelent security updatek
• Az ezeknél is frissebb proposed updatek (amiket az r6-ba terveznek)
• fsn készítésű backportok potatora: 4.1.0-14 XFree86, postgresql 7.1, 3.0 ssh, php4.
• Ximian gnome
• KDE 2.1.1
• non-free csomagok

És részletesebben:

• Az r2->r5, r5->security ügyileg javított, ->proposed updateket már megbízhatóan scriptekkel generálom, ahogyan az egész CD készletet. Azért megjegyzendő, hogy a CDk tegnap este készültek, viszont a DSA-117-1 (cvs bugfix) csak ma reggel jött ki, így a cvs javítását kronológiai okokból nem tartalmazza.
• A 4.1.0 XFree86 backportot hasonló módszerekkel készítettem (sajátkezűleg mint azt Carl P. Botha teszi.
• A postgresql 7.1 backport Riskó Gergely munkája, ez már elég rég óta megtalálható ezeken az extra CDken.
• A múlt heti észrevételem, miszerint a KDE az optional részben tartalmaz egy 2.3.0-s openssht, késztetett arra, hogy én is csináljak hasonlót, így a woody-ban levő legfrisebb openssl és legfrisebb openssh verziókat felhasználva csináltam egy backportot ezekből is.
• A hétvégén fixált php4-et is újraforgattam, hogy evvel a 7-es postgressel, valamint a friss openssl-el legyen linkelve.
• Szintén Riskó Gergely munkájaként rákerült a 2.4-es kernel sorozat használatához szükséges csomagok potatos backportja is. Megjegyzendő, hogy a régieken Adrian Bunk backportjai voltak, de ahogyan azt az egyik régi Debian Weekly News-ban olvashattátok, ő már visszavonult a Debian Projekttől, mert rossz néven vette, hogy nem halad a woody fagyasztása. (megj.: hasonló okokból csinálom én is ezeket az extra CD-ket: a potato a Debian legutolsó kiadott változata.)

Aki netán nem bízna a backportjaimban, vagy nem szeretne ilyen dolgokkal "kisérletezni", akkor nem kell mást tennie, mint az apt-cdrom add parancs után az fsn/-el kezdődő részeket eltávolítania a /etc/apt/sources.list megfelelő sorából.

Az első CD-re még felkerültek a legfrisebb 2.2 és 2.4 kernelek, néhány pre-patch, és Alan Cox patchok, valamint a grsecurity (2.4) és a Solar Designer féle ow (2.2) patchok.

Így azt remélem, hogy akinek kéznél van legalább egy hivatalos 2.2 r2-es telepítőkészlet+ ez a két extra CD, az már egy a kornak viszonylag megfelelő rendszert kap kézhez.


megj.: ha pl. a ximian libjeivel, és egyéb programjaival rendesen felfrissíted a rendszert, akkor akár egy potaton le tudod forgatni a legújabb mplayereket is, a debhelperes függőségeit leszámítva. De az mplayer meg debhelper nélkül is mplayer lesz:)

Csomag: cvs

Támadhatóság: nem megfelelő változó inicializálás

Probléma típus: távoli

Debian specifikus: nem



Ezúttal Kim Nielsen talált a CVS szerverében egy hibát amit a vuln-dev levelezési listára jelentett be. A problémát egy nem megfelelően inicializált globális változó okozza. A problémát kihasználó "felhasználó" megtörheti a szervert, és ezen keresztül a cvs pservert futtató távoli user id-hez is hozzáférhet. Még nem bizonyított, hogy a távoli user idt ezen keresztül meg lehetne törni.A problémát az 1.10.7-9 verzió javítja a debian stable disztribúciójában, és az 1.11.1p1debian-3 verzió az unstable/testing verziókban.



A frissítés mikéntjéről lásd a FAQ idevonatkozó részét.



A hiba eredeti leírását a DSA-117-1 hibajelentésben találod meg.