Luigi Rizzo néhány új funkcióval bővítette a FreeBSD bridge kódját.

A kódolás egy részét a CISCO (?) is támogatta.
A változások fontossági sorrendben (Luigi szerint):

• minden cluster saját adatterületekkel rendelkezik (szűrés és helyi ARP címtáblák), így a külön létrehozott bridgeket teljesen különálló switcheknek tekinthetjük (tehát elkerülhetjük, hogy egy clusteren belül zajló támadás, például ARP poisoning, vagy flood hatására csomagok kerüljenek át egy másikba)
• a konfigurációkezelés javítása, így a rendszer jobban viseli a dinamikusan csatlakoztatott vagy leválasztott eszközöket. Nagy számú eszközök esetében a rendszer nem panicol többet.
• VLAN támogatás. Ennek segítségével egy FreeBSD-ből egy teljes értékű VLAN switch varázsolható trun interfészekkel, stb.
  
  Például:
  
  ifconfig vlan0 vlan 3 vlandev dc0
  
  ifconfig vlan1 vlan 4 vlandev dc0
  
  net.link.ether.bridge_cfg="vlan0:3,dc1:3,vlan1:4,dc1:4"
  
  a dc0 interfészt trunkként használja, a dc1 és dc3 pedig a vlan 3 és 4 portjai.
• ha a bridge kódot engedélyezzük, az addig nem fog csomagot továbbítani, amíg nem adjuk meg az intefészeket, ezzel elkerülendő, hogy biztonsági lyukat üssünk a hálózatunkba akaratlanul

Csomag: gnujsp


Támadhatóság: ellenőrizhetetlen fájlhozzáférés


Probléma típusa: távoli


Debian-specifikus: nem

Thomas Springer egy hibát talált a gnujsp-ben. Ez egy java servlet, ami lehetőve teszi, hogy java kódot ágyazz a htmlbe. (Hasonlóan a php-hez). A probléma az, hogy a támadó, a webszerver ellenőrzési mechanizmusát megkerülve hozzáférhez a fájlokhoz, így pl. elolvashatja a servlet forrását is.

A hibát Stefan Gybas javította ki. Aki a Debianban levő gnujsp maintainere. A stabil kiadásban az 1.0.0-5 verzió tartalmazza a javítást.

A testing és unstable kiadásokban ugyanaz a verzió volt mint a stabilban, és ennélfogva szintén támadhatók. Így a javítást is ugyanaz a verzió tartalmazza.

A frissítésről lásd a FAQ idevonatkozó részét.

A hibáról lásd a DSA-114-1 hibajelentést.

Egy levél szerint - amelyet a gnome-announce-list levlistára küldtek - megjelent a "20022002 - Yay for trenary!" kódnévvel illetett Gnome 2.0 BETA.

From: Sander Vesik


Subject: Gnome 2.0 BETA "20022002 - Yay for trenary!" released


Date: 21 Feb 2002 00:08:57 +0000

This is a note to say that Gnome 2.0 Beta "20022002 - Yay for trenary!"


has beed released.

The tarballs are available at:

ftp://ftp.gnome.org/pub/GNOME


/pre-gnome2/releases/gnome-2.0-desktop-beta/and it is the release teams hope that they get throughoutly tested.


Any/All bugs should be submited using either bugzilla.gnome.org/ (don't


forget to specify the GNOME2 keyword) or using bugzilla. Binary packages


of source tarballs will hopefully also soon appear on the ftp site.

Megjelent az ez évi nyolcadik DWN kiadás, a Debian közösség heti hírlevele.

A tartalomból:

- Új feltöltő (upload) rendszer


- Debian Sun Solarison


- Új stabil release (r6) előkészületek


- Nem hivatalos mini-Woody CD imagek


- Woody release státusz


- Spam a Debian listán


- Autobuilding rendszer a Debian-ban?


- Beszámolás a hétvégi Bug Squashing Party eredményéről


- Újra üzemelő mirror Rsync hiba után


- Új csomagok listája a Debian-ban


- Biztonsági frissítések


- Heti elárvult csomagok listája, 3 új elárvult (orphaned csomag)

A hírlevelet elolvashatod itt.

Itt a legfrissebb fejlesztői kernel release. Ext2 kódtisztítás, HiSax HFC PCI driver update, USB updatek, javítások, alsa + x86-64 (64bit support), IDE driver javítás, matroxfb javítás, stb.

Letölthető a mirrorokról

Változások logja itt.

Az OpenBeOS csapat bejelentette az első, belső kiadását az OpenBeOS rendszernek (first internal release). Ahogy a készítők állítják a project news oldalukon: "egy gyerek lépést tettek a dicsőség felé.."

Az első kiadást a meglevő 5.3-as rendszerre kell telepíteni, és olyan javításokat/változtatásokat tartalmaz mint a OpenTracker, Mail Daemon Replacement frissített verziói. Ezenkívül különböző applikációk cseréje történt meg (Keyboard, Menu, Mouse, Screen, VirtualMemory, és Workspaces).

Ezek szerint a BeOS project nem halt meg, az OpenBeOS fejlesztése folyamatban van, lelkes programozók csapat úgy látja, hogy van értelme a fejlesztések folytatásásnak.

Phil Ferret, frissítette a Solaris igen kedvelt csomagfrissítő tool-ját.


Az alábbi e-mailt juttatta el a solarisonintel [s-x86] levlistájára:

Date: Wed, 20 Feb 2002 01:57:02 -0000


From: "philferret"


Subject: new version of pkg-get

I just put up a new version of pkg-get
The 'update' function actually works now. I hope :-)
Plus a bunch of other little "features" that needed fixing. Give it a shot, and lemme know what's broken this time.

http://www.bolthole.com/solaris/pkg-get.html

Beindult az UHU-Linux weblapja a www.uhulinux.hu címen, nálatok még nem láttam kint hírként, pedig biztos sokakat érdekelhet a dolog. Elég kellemes kezdeményezésnek tûnik a képernyõképek, hozzáállásuk alapján!

Csáó,

Joci (jocithebest@mailbox.hu)

Igaz, ami igaz, a Unix-okon rengeteg különböző konfigurációs-file formátum van használatban, a szoftverek fejlesztői többnyire saját magunk implementálják a konfigurációkezelést. Egy egységes konfigurációs felület levenné ezt a terhet a fejlesztőkről, és lehetővé tenné, hogy egységes konfiguráló felületet tudjunk használni.



Ilyen gondolatokkal fogott cikkírásba Matthew Arnison, az eredmény pedig egy érdekes cikk lett.



A cikkben felvázol egy lehetséges megoldást a problémára, és tulajdonképpen egy jó kiindulópont lehetne egy ilyen projekt indításához. A hozzászólásokba is érdemes belenézni, mert konstruktívak, szóba kerül sok projekt, ami ugyanezt a célt akarta elérni.

Csomag : ncurses


Támadhatóság : buffer overflow


Probléma típus : local


Debian-specifikus: no

Számos puffer túlcsordulási hibát fixáltak az ``ncurses" libekben 2000. novemberben, egy viszont kimaradt. Ez a hiba ahhoz vezet, hogy az ncurses applikációk összeomolhatnak ha nagyobb ablakokkal dolgozunk.

A hibát a stabil disztribúcióban a 5.0-6.0potato2 verzió javítja, míg a fejlesztői változatban az 5.2-es verzió nem tartalmazza a hibát.

A frissítés mikéntjéről lásd a FAQ ide vonatkozó részét.



A hibáról bővebben itt olvashatsz.

Még ki se hűlt a 2.4.18-rc2 a mirrorokon, Cox apó már ki is adta hozzá az első foltot. A folt tartlamazza többek között Rik van Riel -rmap VM implementációjának ``f" verzióját. Itt jegyezném meg, hogy aki esetleg -rmap12c-t használ, az frissítsen, mert ez a verzió egy szép kis RSS bugot tartalmaz.

Subject: Linux 2.4.19-rc2-ac1


From: Alan Cox


Date: Mon, February 18, 2002 2:56 pm


To: linux-kernel@vger.kernel.org


Mailer: ELM [version 2.5 PL6]

[+ indicates stuff that went to Marcelo, o stuff that has not,


* indicates stuff that is merged in mainstream now, X stuff that proved


bad and was dropped out]

Letölthető a mirrorokról.

Változások logja:Linux 2.4.18rc2-ac1


o Merge with 2.4.18rc2


o Ignore i810 modem codecs (me)


o Core of address space accounting code (me)


| Enforcement, ptrace and some shmem corner bits to do


* Fix security hole in shmfs (me)


o Fix various bits of 64bit file I/O in shmem (me)


o Merge with rmap12f (Rik van Riel and co)

Itt a 2.4.18 második RC kiadása. Tosatti reméli, hogy hamarosan kiadható lesz a végleges 2.4.18 kernel.

Kernel.org Mirrors

Subject: Linux 2.4.18-rc2


From: Marcelo Tosatti


Date: Mon, February 18, 2002 12:16 pm

Well hopefully have a 2.4.18 pretty soon..

Letölthető a mirrorokról.

Változások logja:rc2:


- Make get_user_pages handle VM_IO areas


gracefully (Manfred Spraul)


- Fix SMP race on PID allocation (Erik A. Hendriks)


- Fix SMP race on dnotify scheme (Alexander Viro)


- Add missing checks to shmem_file_write (Alan Cox)

Szeretnénk az egyetemen használni az Mplayer-t, de mielőtt használnánk, szeretnénk tudni, hogy jogtisztán tesszük-e ezt. Gondolok itt az Mplayer win32 codec-jeire.

Tehát a kérdés:

Milyen licence feltételek vonatkoznak az Mplayer által használt win32 codec-ekre? Használhatók -e szabadon? Vagy van-e valami felhasználási megkötés rájuk?

Csomag: hanterm


Támadhatóság: Puffer-túlcsordulás


Probléma típus: helyi


Debian-specifikus: nem

Számos puffertúlcsordulási hibát találtak a hanterm nevű terminálemulátor programban, ami egy xterm származék, és amely koreai karakterek írását-olvasását is tudja.

A hiba lehetőséget ad arra, hogy a felhasználók az utmp csoport lehetőségeivel éljenek, és így az utmp és wtmp fájlokat módosítsák.


A hibát a stabil disztribúcióban a 3.3.1p17-5.2 verzió javítja, míg a fejlesztői változatban a 3.3.1p18-6.1 verzió.

A frissítés mikéntjéről lásd a FAQ ide vonatkozó részét.

A hibáról a DSA-112-1 hibajelentésben olvashatsz.

Két héten belül, március 1-én a Corel bezárja az Open Source oldalát - olvashatjuk a http://opensource.corel.com/-on. Talán csak a CVS-t tartják meg.

A Corel egy felhasználóbarát, debian alapú disztribúciót dobott piacra, és szépen kezdte támogatni az open source törekvéseket. A CorelOS 1999. november. 15-én mutatkozott be a Comdex/Ősz99 kiállításon. Sokan szép reményeket fűztek ahhoz, hogy a Corel is beszáll a nyílt forrássú programok fejlesztésébe. Ez tényleg szépnek látszott.

Egészen addig amíg a micro$oft meg nem jelent a színen. Most úgy néz ki, hogy a Corel teljesen kiszáll az open source fejlesztésekből. Kár érte.

Egy levelet postázott ma Anthony 'AJ' Towns (Debian Release Maganer) a debian-devel-announce listára. A levél subjectje: Release Status Update. A lényege, hogy mind a három RC bugot fixálták a base szekcióban, és a többi bugok fixálása folyamatban van a Bug-Squashing Party keretén belül a standard szekcióban.

A levélben ez áll:

"Jó hírek, rossz hírek."

Lássuk a jó híreket: a Woody base megint szép állapotba került. A glibc, base-passwd és az rsync RC (release critical) bugjait fixálták, és ez megnyugtató. Vannak még bugok fontos csomagokban, mint például apache, bind, binutils, bison, emacs, iproute, kdebase-libs, menu, php3, sudo, tetex, és a vim, de ezeket a bugokat könnyen lehet kontrollálni.

A rossz hírek a következők: lassan ki akarják adni a a Woody-t, viszont egy rakás kevésbé fontos csomagban van RC bug: bugzilla, craft, crossfire-{client,server}, epic4, fvwm95, gmc, gnome-admin, intuitively, kdepim, moon-lander, tkdesk, wine, és xosview

Hát hajrá, és lassan lesz szép, stabil, csillogó-villogó Woody.

Itt a vadász szezon!

A hetedik Debian Woody Bug-Squashing Party vette kezdetét tegnap. A Party február 15-17-ig tart. A Party célja, hogy a release-critical bugokat a lehető legalacsonyabb szintre szorítsák.

Ha szeretnénk, hogy a Woody minél előbb kiadható állapotba kerüljön, akkor lehetőségünk van arra, hogy segíthessünk.

A csomagok listája amelyekre feltétlen szükség van, és amelyeknek a fixálását feltétlenül meg kell csinálni:

http://base.debian.net/

http://standard.debian.net/ ˇ

A bug-squashing party-t a #debian-bugs IRC csatornáról irányítják (OpenProjects network, IRC server irc.debian.org). Ott vannak emberek akik tudnak segíteni, és átnézni a patcheket.

Segíts te is javítani a bugokat!

Bővebb információ itt.

Egy hosszabb interjút készített az ITWales Alan Cox-szal. Az interjúban Cox beszél a Red Hat-ról, a Linux kernelről (természetesen), a Microsoft-ról, Linux Standard Base-ről, stb.

Az interjút megtalálod itt.

Alan Cox-ról egy képet találsz itt.

Úgylátszik nem telhet el nap Alan Cox patch nélkül. Ennek a patchnek az érdekessége, hogy megjelent benne az IBM naplózó (journaling fs) filerendszerének a JFS-nek a támogatása.

From: Alan Cox To: linux-kernel@vger.kernel.org

Subject: Linux 2.4.18pre9-ac4

Date: 14 Feb 2002 16:12:06 -0500

[+ indicates stuff that went to Marcelo, o stuff that has not,

* indicates stuff that is merged in mainstream now, X stuff that proved bad and was dropped out]

*

* If you have SIS IDE hardware please handle this kernel with care

* and report success/failures to Lionel.

*

Letölthető a mirrorokról.

Változások logja:Linux 2.4.18pre9-ac4

Ahogy arról tegnap beszámoltunk, az Oulu University Biztonsági Programozó Csoportja hibát talált több gyártó, és operációs rendszer SNMP implementációjában. Ahogy az várható volt, sorra meg fognak jelenni a Linux disztribútorok is a saját hibajavításukkal. Ahogy az lenni szokott, a Debian (és a Caldera) ébredt legelőször.

Csomag neve: ucd-snmp

Probléma típus: remote exploit

Debian-specifikus: nem

CERT Advisory: CA-2002-03

A hibát kihasználva, távoli DoS (Denial of Service) támadás kezdeményezhető.A frissítés javasolt a szokásos módon:

Megjelent a Debian community szokásos heti hírlevelének legújabb száma.

A tartalomból:

- Debian Project vezető választás

- a PHP4 elárvult (a karbantartó lemondott)

- Debian a Sharp Zaurus PDA-ján

- 3.0.19-es Boot-floppyk

- Új Bug Squashing Party kezdődik a hétvégén

- Elárvult csomagok. Ezen a héten 8 elárvult (orphaned) csomag keletkezett, amellyel az árva csomagok száma 111-re növekedett (árva csomag az, amelynek nincs karbantartója), tehát aki kedvet érez arra, hogy Debian maintainer legyen, annak itt az alkalom =), munka van...

A Debian Weekly News legfrissebb számát itt olvashatod.

Andy Keen bemutatkozik, mint x86-64 maintainer. Jó hír az ALSA-t használóknak. Ahogy Linus ígérte a 2.5-ben meg fog jelenni az ALSA (Advanced Linux Sound Architecture). Lássuk mit ír erről Linus:

"From: Linus Torvalds


Subject: linux 2.5.5-pre1


Date: Wed, 13 Feb 2002 14:38:12 -0800 (PST)

This is a _huge_ patch, mainly because it includes three big pending things: the ALSA merge (which is much smaller in the BK tree than in the patch, because a lot of them are due to renames), merging most of x86_64, and merging some PPC patches. Full changelog appended.

Linus"

Letölthető a mirrorokról.

Változások logja itt.

Itt a 2.4.18 Release Candidate 1. Intel EtherExpress Pro fix, ReiserFS bugfixek, néhány Alan Cox merge jellemzi. Lassan végleges 2.4.18 várható.

Letölthető: patch-2.4.18-rc1.gz

Változások logja:rc1:

A CUPS (Common Unix Printing System) alkotói hibát találtak saját munkájukban. Egy potenciális buffer overflow hibát fedeztek fel a CUPS daemon kódjában.

A hiba az összes eddigi CUPS verziót érinti!!!

Mivel a hiba nem Debian specifikus, az összes disztribúció hibás csomagot tartalmazhat. A hiba típusa távoli (remote).

A stabil Debian disztribúcióban a 1.0.4-10-es verzió, a testing debian disztribúcióban pedig a 1.1.13-2-es verzió tartalmazza a javításokat.

Azonnali frissítés javasolt.A frissítés javasolt a szokásos módon:

A hírek szerint kiadták a következő beta KDE 3.0 tesztet, a harmadik KDE 3.0 pre releaset (kis ellentmondásnak látszik a Beta 2, és a harmadik pre release, de így áll a bejelentésben). A letöltési lehetőségekről ez a bejelentés tájékoztat minket.

A KDE 3.0 tervezett kiadása 2002. második negyedévére tehető.