Bug

zen-parse bugot talált az at daemon (DSA 102-1) jelenlegi implementációjában. A hibát kihasználva a lokális felhasználó a daemon user jogaihoz juthat. A hiba nem Debian specifikus, ahogy néztem a security advisory -kat, bejelentette a SuSE is, és csak idő kérdése mikor fedezik fel a többi disztribúcióban. Javasolt a frissítés.Bővebb info itt.

Larry McVoy bug -ot talált a CIPE csomag kezelő (packet handling) kódjában. A CIPE egy VPN csomag. A hiba típusa DoS (denial of service). A hiba nem Debian specifikus. Azonnali frissítés javasolt. Bővebb info itt.

Hiba van a sudo csomagban is (local root exploit). Root exploitot tartalmaz. Sebastian Krahmer a SuSE -tól olyan biztonsági hibát talált a sudo programban, amelyet kihasználva könnyen root shellt lehet szerezni. A hiba nem Debian specifikus. Azonnali frissítés javasolt. Bővebb info itt.

A Debian -ban is megtalálható glibc csomag buffer overflow hibát tartalmaz (globbing code). A hiba nem Debian specifikus. Azonnali frissítés javasolt.A hiba már javítva van a 2.1.3-20 verziószámú csomagban.

A Debian -ban levő gzip csomagban talált egy puffer túlcsordulás hibát GOBBLES (DSA 100-1 ). A probléma akkor jelentkezhet, ha a gzip igazán hosszú fileneveket a akar tömöríteni. A hiba nem Debian specifikus.

zen-parse talált hibát az xchat -ben (DSA 099-1). A hibás xchat része a Debian terjesztésnek is. Az "IRC session hijacking" hiba kihasználásával a támadó távolról átveheti az áldozat iRC kliense feletti irányítást, és azt felhasználhatja csatorna take over -re, DoS attack -ra (Denial of Service). A hiba nem Debian specifikus.

Bővebben itt.

Kínos ....

Egy program hibája mindig bosszantó, de amikor a hiba egy biztonsági programban van, az kifejezetten az. Most a LIDS (Linux Intrusion Detection System) programban találtak mindjárt három hibát, mindegyik kritikus minősítésű.

A hibák javítása elkészült, letölthetők:

lids-1.1.1pre2-2.4.16.tar.gz és LIDS-security-patch-0.10.1-2.2.20.diff.gz.

Hibás a Debian -ban is megtalálható libgtop-daemon (gyanítom, hogy ez a gnome grafikus top -jának libje). A daemonban két hibát is találtak, az egyik egy loggolási hiba, a másikat kihasználva viszont a nobody userrel futó libgtop-daemont megtámadva, a távoli felhasználó nobody jogokkal felruházott hozzáférést kaphat a rendszerhez.A hiba nem Debian specifikus, más disztribúciókban is jelen lehet.

A DSA-097-1 jelentésben le van írva, hogy az exim 3.34 és 3.952 előtti verziói hibásak.



A hiba nem debian specifikus.



A luk az eximet futtató gépen ellenőrizetlen programfuttatást eredményezhet.

A gpm csomag tartalmazza a gpm-root parancsot, amiben többek között biztonsági hiba is van, amelynek kihasználásával egy helyi felhasználó root jogot is tud szerezni. A javítás egyszerű: fel kell tenni az 1.17.8-18 verziójú csomagot.

http://www.debian.org/security/.

Hibás a Debian mailman csomagja. Wichert Akkerman postázta ezt a figyelmeztetést a biztonsági listákra. A hiba nem Debian specifikus, más disztribúciókban is jelen lehet. A hiba típusa "cross-site scripting hole".

Ezt a hibát a 2.0.8 verzióban már javították, a Debian 1.1-10 verzióba pedig patch -elték.Javítás az apt eszköz használatával:

Wichert Akkerman postázta ezt a biztonsági figyelmeztetést a debian-security-announce@lists.debian.org -ra. Wietse Venema, aki egyébként a postfix szerzője, egy denial of service (DoS) sebezhetőséget talált a postfix MTA (mail transfer agent) -ban. A bug kihasználható távoli DoS -ra. A hiba nem Debian specifikus, más disztribúciókban is jelen lehet.A hiba javítva van a 0.0.19991231pl11-2 verzióban.