Bug

Régóta nem volt komolyabb hiba az ISC BIND névszerverekben. Sajnos ismét biztonsági lyukat találtak a BIND-ben.A Computer Emergency Response Team (CERT) bejelentése szerint denial-of-service (DoS) sebezhetőség található a BIND (Berkeley Internet Name Daemon) népszerű névszerver implementáció 9-es verziójában. A hiba a 9-es verziókat érinti a 9.2.1-es verzióig bezárólag. A hiba nem érinti a BIND 8-as és 4-es verzióit. Az hibát kihasználva a támadott szervert le lehet állítani.



A bejelentés elolvasható itt.

Bejelentés dátuma: 2002. június. 1.


Csomag: ethereal


Probléma típus: távolról előidézhető memória foglalási hiba


Debian specifikus: -

Az Ethereal 0.9.3 verziónál korábbi csomagokjai memória foglalási hibát tartalmaznak az ASN.1 értelmezőben. Ez akkor kerül használatra, ha a hálózati forgalmat analizáljuk SNMP, LDAP, COPS, vagy Kerberos protokolokkal az etherealban. Ez a hiba javitva van az ethereal 0.8.0-3potato verzióban a Debian 2.2-höz (potato).

Azonnali frissítést javaslunk.

Az eredeti hibajelentés: dsa-130


Frissétésről szóló FAQ

Csomag: uucp


Probléma típus: távoli D0S


Debian specifikus: igen

Bejelenetések szerint az in.uucpd - amely egy autentikációs ügynök az uucpd csomagban (unix to unix copy protocol) - nem teljesen jól kezeli a hosszú bemeneti stringeket. Ez a hiba már javítva van az uucp csomag 1.06.1-11potato3 verziójában a Debian 2.2-höz (potato), és az 1.06.1-18 verziójú csomagban a kiadásra kerülő woody-hoz.

Azonnali frissítést javaslunk!

Az eredeti hibajelentés: dsa-129


Frissétésről szóló FAQ

Csomag: sudo

Probléma típus: puffertúlcsordulás

Debian specifikus: nem



fc egy puffertúlcsordulási hibát talát a sudo változó-kiértékelő kódjában. Mivel a sudo-t suidroot-osan kell telepíteni, a dolog helyi root-szerzési lehetőséget nyújthat.

A debian stabil verziójában a 1.6.2-2.2 verzió javítja a hibát. Azonnali frissítést javaslunk!



Az eredeti hibajelentés: DSA-128-1

Frissétésről szóló FAQ

Egy újabb figyelmeztés szerint megint hibát találtak az OpenSSH féle sshd-ben. A hiba távolról kihasználható, de csak bizonyos esetekben (szerencsére).Egy újabb puffer túlcsordulási hibát találtak a kódban. A hiba csak akkor jelentkezik, ha az OpenSSH sshd Kerberos/AFS támogatással van lefordítva és a KerberosTgtPassing vagy AFSTokenPassing változók valamelyike engedélyezve van az sshd_config fileban. A Ticket és a token passing nincs engedélyezve alapbeállításban.

Bővebb információ itt.

Csomag: xpilot

Probléma típus: távoli puffer-túlcsordulás

Debian specifikus: nem



Az xpilot (egy taktikai manőverezős játék X-re) karbatnartói által végeztt audit során egy puffer túlcsorulásra lehetőséget adó hibát találtak az xpilot-server-ben.

Ennek segítségével az xpilot szervert futtató gép abnormális működését érheti el a távoli támadó.A hiba javítását az upstream-ben a 4.5.1 verzió tartalmazza, még a debianban a 4.1.0-4.U.4alpha2.4.potato1 verziójú debian csomag.



A hiba részleteiről lásd a DSA-127-1 hibajelentést.
A javítás mikéntjéről pedig a FAQ idevonatkozó részét.

Csomag: imp

Probléma típus: cross-site scripting (CSS)

Debian specifikus: nem



Cross-site scriptelésre lehetőséget adó hibát fedeztek fel a Horde-ban és az IMP-ben (Ez egy webes IMAP levelezési csomag). A hiba javítását az upstream-ben az 1.2.8-as verzió tartalmazza a Horde és a 2.2.8-as verzió tartalmazza az IMP esetén. Az ide vonatkozó patcheket backportolták az 1.2.6-0.potato.5 és 2.2.6-0.potato.5 verziójú debian csomagokba.



Ezek a verziók tartalmaznak egy javítást is, ami a php4 biztonsági javításából adódott. Lásd DSA-115-1
A Postgres support a php-ban körmönfont módon megváltozott így elrontva az IMP postgres supportját.A részleteket lásd a DSA-126-1 hibajelentésben.

A frissítésről lásd a FAQ idevontakozó részét.

A Solar Designer (az OpenWall biztonsági patch alkotói) szerint az OpenBSD 3.0-ban (és ezalatt minden verzióban) rossz néhány crontab bejegyzés. Przemyslaw Frasunek ezt írta:

>default root crontab entry looks like:


>


># do daily/weekly/monthly maintenance


># on monday only (techie)


> 30 1 * * 1 /bin/sh /etc/daily 2>&1 | tee /var/log/d


> daily.out | mail -s "`/bin/hostname` daily output" root


> 30 3 * * 6 /bin/sh /etc/weekly 2>&1 | tee /var/log/


> weekly.out | mail -s "`/bin/hostname` weekly output" root


> 30 5 1 * * /bin/sh /etc/monthly 2>&1 | tee /var/log/monthly.out | mail -s "`/bin/hostname` monthly output" root

Mikor a legfrissebb kernelre frissítjük a rendszerünket, két VM kód között választhatunk. Az egyik Andrea Arcangeli által írt kód (ez van most a stabil kernelben), és a másik a Rik van Riel féle kód. Arcangeli egy levelet küldött a napokban a kernel listára melyben ez áll:

"Ne használd a 2.4-es kerneleket azelőtt, mielőtt ezt a patchet alkalmaznád".

A kérdéses patch a vm-33.gz névre hallgat. Ezt a patchet Andrew Morton kisebb darabokra szedte, hogy könnyebben be lehessen illeszteni a jelenlegi kernelbe.

A másik jelenleg elérhető VM kód a Riel féle VM kód. Riel erről a következőket mondja:

"Ennek a kódnak a segítségével egy sokkal robosztusabb és flexibilisebb VM alrendszerhez juthatunk, és amelynek egyidejűleg a kódja sokkal tisztább."

Ma megjelent a rmap-12i, amely Marcelo Tosatti 2.4-es kernelfáján alapul. Az -rmap VM jelenleg Alan Cox -ac patchének része.

Mivel az AA (Andrea Arcangeli) féle VM alrendszer a 2.4.10 óta van jelen a stabil kernelben, joggal feltehetjük a kérdést, hogy akkor eddig egy rossz kernelt használtunk (a kérdést többen is feltették)?

Álljon itt egy levélváltás ebben a témában:------------------------------------------------------------------

From: Andrea Arcangeli

Subject: vm-33, strongly recommended

[Re: [2.4.17/18pre] VM and swap - it's really unusable]

Date: Wed, 10 Apr 2002 01:36:09 +0200

I recommend everybody to never use a 2.4 kernel without first applying this vm patch:

ftp://ftp.us.kernel.org/pub/linux/kernel/people/andrea/patches/v2.4/ 2.4.19pre5/vm-33.gz

It applies cleanly to both 2.4.19pre5 and 2.4.19pre6. Andrew splitted it into orthogonal pieces for easy merging from Marcelo's side (modulo -rest that is important too but that it's still quite monolithic, but it's pointless to invest further effort at this time until we are certain Marcelo will do its job and eventually merge it in mainline):

ftp://ftp.us.kernel.org/pub/linux/kernel/people/andrea/patches/v2.4/ 2.4.19pre5/

So far a first part of those patches is been merged into mainline into pre5 (not any previous kernel, if you've some problem reproducible with pre4 pre3 pre2 and pre1 or any previous kernel that's not related to the async flushing changes, I seen a bogus report floating around to Marcelo about pre1 pointing to the vm changes, it can't be the vm changes if it's pre[1234]).

This VM is under heavy stressing for weeks on my SMP highmem machine with a real life DBMS workload in a real life setup with huge VM pressure with mem=1024m and 1.2G of shm pushed in swap constantly by the kernel, performance of the workload is now very good and exactly reproducible and constant, so I recommend it for all production systems (both lowmem desktops and highend servers). Alternatively you can use the whole -aa patchkit, to get all the other critical highend features like pte-highmem, highio etc... I haven't bugreports pending on the vm patch.

Thanks,

Andrea

------------------------------------------------------------------

From: Richard Gooch

Subject: Re: vm-33, strongly recommended

[Re: [2.4.17/18pre] VM and swap - it's really unusable]

Date: Tue, 9 Apr 2002 18:07:50 -0600

Andrea Arcangeli writes:

> I recommend everybody to never use a 2.4 kernel without first applying

> this vm patch:

[...]

The way you write this makes it sound that the unpatched kernel is very dangerous. Is this actually true? Or do you really just mean "the patched kernel has better handling under extreme loads"?

Regards,

Richard....

------------------------------------------------------------------

From: Andrea Arcangeli

Subject: Re: vm-33, strongly recommended

[Re: [2.4.17/18pre] VM and swap - it's really unusable]

Date: Wed, 10 Apr 2002 02:30:06 +0200

The unpatched kernel isn't dangerous in the sense it won't destroy data, it won't corrupt memory and finally it won't deadlock on smp locks, but it can theoretically deadlock with oom and it has various other runtime issues starting from highmem balancing, too much swapping, lru list balancing, related-bhs in highmem, numa broken with += min etc... so

IMHO it is better to _always_ use the patched kernel that takes care of all problems that I know of at the moment, plus it has further optimizations. OTOH for lots of workloads mainline is just fine, the deadlocks never trigger and the runtime behaviour is ok, but unless you are certain you don't need the vm-33.gz patch, I recommend to apply it.

Andrea

Wojciech Purczynski újabb hibát talált a Linux kernelben. A hiba a ``d_path() Truncating Excessive Long Path Name Vulnerability" (de szép hosszú neve van =)).



Név: Linux kernel

Verziók: felfele 2.2.20-ig és a 2.4.18

Honlap: http://www.kernel.org

Szerző: Wojciech Purczynski

Dátum: 2002. március. 26

A hiba leírása:

Nagyon hosszú PATH nevek esetén a d_path() belső kernel függvény a PATH név csonkolt részeivel tér vissza ahelyett, hogy hibaértéket adna. Ha ezt a függvényt hívja a getcwd(2) rendszer hívás és a do_proc_readlink() függvény, akkor hibás információkat kaphatnak az user-space processzek.A hatás:

A privilégiumokkal rendelkező processzek képesek használni tetszőleges könyvtárakat. (remélem jól fordítottam le, ha nem javítsd =))

Bővebb információ a hibáról itt.