FreeBSD Security Advisory FreeBSD-SA-02:34.rpc

 ( trey | 2002. augusztus 1., csütörtök - 10:12 )

Topic: Sun RPC XDR dekóder 'buffer overflow' hibát tartalmaz
Kategória: core
Modul: libc
Bejelentve: 2002-07-31
Közreműködők: ISS X-Force
Érintett rendszerek: Az összes FreeBSD kiadás, beleértve a 4.6.1-RELEASE-p3 -at is
Javítva:


2002-07-31 14:45:29 UTC (RELENG_4)
2002-07-31 14:47:02 UTC (RELENG_4_6)
2002-07-31 14:49:18 UTC (RELENG_4_5)
2002-07-31 14:50:18 UTC (RELENG_4_4)


FreeBSD specifikus: nem

A bejelentés:

Linux kernel 2.5 státusz riport

 ( trey | 2002. augusztus 1., csütörtök - 8:48 )

Hmm. Elég régen jelentkeztem a 2.5-ös kernel státusz riporttal. Lássuk csak mit dolgoztak a kernelfejlesztők az elmúlt majdnem egy hónapban.

DSA-138-1: gallery - remote exploit

 ( trey | 2002. augusztus 1., csütörtök - 8:37 )

Csomag: gallery
Támadhatóság: remote exploit
Probléma-típus: távoli
Debian-specifikus: nem

Problémát találtak a gallery (web alapú fotó album) eszközben. A probléma a GALLERY_BASEDIR változóval van. A hibát kihasználva lehetőség nyílhat arra, hogy a webszerveren parancsokat hajtson végre a rosszindulatú támadó a webszervert futtató felhasználó nevében (uid).

A hiba javítva van az 1.2.5-7 verziójú Debian csomagban.

Az eredeti hibajelentés: DSA-138-1
Frissétésről szóló FAQ

Marcelo Tosatti: Linux 2.4.19-rc4

 ( trey | 2002. augusztus 1., csütörtök - 8:25 )

Miután feltűnt néhány kritikus hiba (elsődlegesen a d_unhash() SMP race) itt az rc4.

Letölthető: patch-2.4.19-rc4.gz

Változások:

FreeBSD Security Advisory: FreeBSD-SA-02:32.pppd

 ( trey | 2002. július 31., szerda - 17:30 )

Sebastian Krahmer [krahmer@suse.de] egy kihasználható 'race condition' típusú hibát talált a FreeBSD pppd implementációjában. A hiba FreeBSd összes kiadását érinti, beleértve a 4.6.1-RELEASE-p1-t is. A hiba javítva van az alábbi kiadásokban:

2002-07-30 03:50:40 UTC (RELENG_4)
2002-07-30 19:15:52 UTC (RELENG_4_6)
2002-07-30 19:16:46 UTC (RELENG_4_5)
2002-07-30 19:17:27 UTC (RELENG_4_4)

A hiba nem FreeBSD specifikus. A javítás, workaround, patch és egyébb információkért olvasd el a bejelentést:

Hungarian Unix Portal - PDA barát verzióban

 ( trey | 2002. július 31., szerda - 11:41 )

Erősen a nyárban vagyunk, éppen a szabadságolások közepette. Sokan rendelkezünk böngészésre alkalmas mobiltelefonnal, PDA készülékkel (ez ilyen informatikus betegség lehet :-) Többen kérték tőlem, hogy jó volna a ha lenne a Hungarian Unix Portal-nak PDA/WAP barát verziója, mert így a szabadság ideje alatt sem kellene nélkülözni a Unix világ híreit. Hát igen, ebben a világba egy hét kihagyás tényleg sok lenne :-)

Debian Weekly News - 2002. július. 30

 ( trey | 2002. július 31., szerda - 9:55 )

Megjelent a DWN, a Debian közösség szokásos heti hírlevelének soron következő, huszonkilencedik száma. A tartalomból:

Az IBM és az AMD bejelentette a DB2 x86-64 platformra portolását

 ( trey | 2002. július 31., szerda - 9:41 )

Nem sokkal az után, hogy Linus széles nyilvánosság előtt kijelentette, hogy azt szeretné, ha az AMD x86-64 processzor architektúra győzedelmeskedne az Intel Itanium IA-64 design felett, az IBM az AMD és a SuSE Linux bejelentették, hogy készek az IBM népszerű adatbázis kezelőjének, a DB2-nek az AMD új Opteron 64-bit-es processzorára való portolására.

DSA-137-1: Az új mm csomagok javítják a nembiztonságos temp-fájl létrehozást

 ( gyu | 2002. július 30., kedd - 20:02 )

Csomag: mm

Támadhatóság: Nembiztonságos ideiglenes fájlok

Probléma-típus: helyi

Debian-specifikus: nem

CVE Id: CAN-2002-0658



Marcus Meissner és Sebastian Krahmer fedezte fel és javította egy tempfájl-támadhatóságot az mm nevû osztott memóriakönyvtárban. Ez a probléma kihasználható root-jogosultságok szerzésére egy olyan gépen, ami apache-ot futtat, és az apache ehhez az osztott könyvtárhoz van linkelve. Feltéve ha egy user hozzáfér egy eleve adott "www-data" shellhez (amit könnyen lehet szerezni pl. a PHP-n keresztül.)

Alan Cox: Linux 2.4.19rc3-ac5

 ( trey | 2002. július 30., kedd - 16:57 )

Na itt a nagy UHU láz közepette Alan Cox is kiadta következõ foltját a 2.4.19rc3-as kernelhez :-)

A stuff letölthetõ:
patch-2.4.19-rc3-ac5.gz

Változások:

UHU-Linux BETA 3.1

 ( Chrissom | 2002. július 30., kedd - 16:44 )

Kijött az UHU-Linux BETA 3.1-es verziója is.
Hivatalos ftp és egy mirror.

DSA-136-1 Többszörös OpenSSL problémák

 ( gyu | 2002. július 30., kedd - 15:51 )

Csomag : openssl

Probléma típus: több távolról kihasználható hiba

Debian-specifikus: nem

CVE: CAN-2002-0655 CAN-2002-0656 CAN-2002-0657 CAN-2002-0659



Az OpenSSL fejlesztõi team bejelentette, hogy A.L Digital LTD.-tõl és a DARPA CHATS programjához tartozó "The Bunker" által végzett security audit több távolról kihasználható puffer-túlcsordulási hibát talált az OpenSSL kódjában. Továbbá az OpenSSL ASN1 értelmezõje lehetséges, hogy DoS-ra érzékeny, amely hibát egymástól függetlenül talált meg Adi Stav és James Yonan.

Redhat-Linux Limbo BETA (7.3.93)

 ( Chrissom | 2002. július 30., kedd - 15:28 )

Szal kijött a második Red Hat Limbo BETA.
Magyar mirror a csomagokhoz és az ISO image-ekhez.

UHU Beta 3

 ( kertib | 2002. július 30., kedd - 14:12 )

Megjelent a magyar fejlesztésű UHU Linux 3. beta verziója. Letölthető az ftp.uhulinux.hu szerverről.

WOLK - Working Overloaded Linux Kernel v3.5rc4

 ( trey | 2002. július 30., kedd - 8:17 )

Marc-Christian Petersen kiadta a WOLK legújabb RC kiadását. A következő már a végleges lesz. O(1) sheduler és OpenMosix merge-re lesz szükség - írja Peteren.

A WOLK - Working Overloaded Linux Kernels jelentéssel bír. Ez az elnevezés nem jelent mást, mint egy Linux kernelt, nagy számú patchcsel/bugfixszel és egy rakás új funkcióval. A WOLK project keretében jelenleg mintegy 450 patch kapott helyet a Linux kernelben. A patchek nagy része évek óta stabil, rengetegen használják, és általában a kernel fejlesztők idejének hiányában nem kerültek bele a mainline kernelbe. A WOLK project ezeket a patcheket szedi össze, és összescsiszolva egy nagy patch formájában juttatja el a felhasználókhoz.

A project honlapját megtalálod itt.

Változások:

Alan Cox: Linux 2.4.19rc3-ac4

 ( trey | 2002. július 30., kedd - 8:10 )

Alan Cox negyedik foltja a 2.4.19rc3 kernelhez.

Letölthető: patch-2.4.19-rc3-ac4.gz

Változások:

Red Hat Limbo Beta (7.3.93) kiadás

 ( Anonymous | 2002. július 30., kedd - 8:07 )

Múlt héten pénteken megjelent a Red Hat Limbo második BETA kiadása.

"Köszönjük, hogy kipróbálod a Red Hat Linux BETA-t. A célja ennek a betanak az, hogy visszajelzéseket kapjunk a teszterektől, és azok alapján javítani tudjuk a disztribúciónkat."

GNU-Darwin csomagok Linuxra

 ( trey | 2002. július 29., hétfő - 11:10 )

A GNU Darwin project nekiállt néhány BSD-stílusú csomagot portolni Linuxra. Ezek közül néhányat már elérhetővé, letölthetővé is tettek. A project szerint készen állnak arra, hogy nagy mennyiségű csomag kollekciót portoljanak Linux csomag formára.

Sokakban bizonyára felmerül a kérdés, hogy mi az a GNU-Darwin, és mire is jó ez az egész? Hát lássuk:

A GNU-Darwin az Apple Darwin projectjének a folytatása, forkja amelynek célja egy Darwin alapú Unix rendszer készítése. A projectnek két fő célja van, az egyik hogy felhívja a figyelmet a Darwin/Mach egyedülálló képességeire, és hogy segítse az Apple szoftver felhasználókat az open source feeling megismerésében.

Az Apple Darwin rendszere egy BSD UNIX operációs rendszer, amely fejlett hálózatos képességekkel bír, tartalmazza az Apache webszervert, és támogatja a Macintosh és UNIX filerendszereket.

TESZT: A legjobb Linux disztribúciók tesztje

 ( trey | 2002. július 29., hétfő - 10:10 )

A cím egy kicsit elcsépeltnek tűnik. Naponta olvashatunk ilyen címmel cikkeket. A címet nem én találtam ki, a Varbusiness.com oldalán találtam a fenti címmel szereplő cikket.
Érdeklődve kezdtem el olvasni, hogy egy business névvel ellátott oldal éppen mit hoz ki győztesnek. Sokat nem csalódtam, de erről később.

Mark Fincher és Ray Bruni, a Varbusiness.com munkatársai egy cikket írtak, melyben 6 népszerű Linux disztribúciót nyúztak meg, szerintük alaposan. Ezek a disztribúciók a következők voltak: Caldera OpenLinux Server 3.1.1, Mandrake Linux 8.2, Red Hat Linux 7.3, Slackware 8.0, SuSE 8.0 és végül a Turbolinux 7 Server.

'Big Mouth Billy Bass' az éneklő hal - powered by Linux

 ( trey | 2002. július 29., hétfő - 9:37 )

Big Mouth Billy Bass egy animációs eszközzel ellátott éneklő hal. A tervezője szerint a Linux az az operációs rendszer, amely a legalkalmasabb arra, hogy ezt a halat mozgassa. A készítő komolyan gondolja a dolgot, még projectet is alapított a fejlesztésre. Hosszú oldalakon keresztül írja le, hogy hogyan lehet egy ilyen éneklő halat elkészíteni, hogyan lehetne tökéletesebbé tenni.

A project honlapján természetesen részletes tutorial van, hogy "hogyan készítsük el a saját 'Big Mouth Billy Bass'-unkat" ;-). A készítő fényképekkel illusztrálja a készítés lépéseit.

A tajvani kormány is a Linuxot segíti

 ( trey | 2002. július 29., hétfő - 9:13 )

Egyre több helyről hallani, hogy különböző országok kormányai a Linuxszal próbálkoznak, mint lehetséges Microsoft Windows + Office alternatíva. Céljuk, hogy megszüntessék azt a függést, amely a Microsofthoz köti őket. Így döntött legutóbb a Német, Norvég kormány, sőt híreket lehetett hallani arról, hogy Angliában is próbálkoznak Linuxszal az államigazgatásban.

Hurd: Az L4 Microkernel portolásának állása

 ( trey | 2002. július 29., hétfő - 8:53 )

A Hurd jelenleg csak a GNU Mach microkernelen fut, de jelenleg is folynak a portolási munkák, melynek célja, hogy a Hurd az újabb L4 microkernelt használhassa. Ez a cikk tartalmazza a Hurd/L4 port jelenlegi állását.

A tervezési különbségek a Mach és az L4 között (tulajdonképpen két teljesen különböző kernel) miatt, nagy mennyiségű infrastruktúrális munkát kell végezni, például a Virtual Memory Manager (VMM) átírása, a glibc portolása, és az eszközmeghajtók megírása szükséges.

Linux powered i3 micro Mood Box

 ( trey | 2002. július 28., vasárnap - 23:25 )

A i3 micro technology (Stockholm, Svédország) 2002. márciusában a Cebiten (Hannover, Németország) bemutatta be a Mood Box névre hallgató eszközét. Az eszköz leírására a "next-generation set-top box" a legjobb jelző, mely diszítheti otthonunkat, szállodákat, konferencia termeket, és melynek segítségével lehetőségünk nyílik IP-alapú élő TV, video-on-demand, pay-per-view (fizetős műsorválasztás), music-on-demand, Internet böngészés, email, és más interaktív szolgáltatások igénybevételére.

(kép a folytatásban)

Linux: Bitkeeper <-> CVS gateway

 ( trey | 2002. július 28., vasárnap - 17:57 )

Pavel Machek (pavel@ucw.cz) egy levelet küldött az LKML-re, melyben bejelentette, hogy készített egy egyszerű BitKeeper <-> CVS gatewayt.

A BitKeeper használata nagy viharokat váltott ki a kernelfejlesztők között, és RMS (Richard M. Stallman) is többször szót emelt a használata ellen.

Egy kis emlékezet frissítés: A BitKeeper 1998-ban mutatkozott be, Larry McVoy hozta létre abból a célból, hogy segítse a kernel fejlesztés menetét. A BitKeeper tulajdonképpen egy CVS-t kiváltó eszköz, amolyan 'source code management system'. Linus többször hangoztatta, hogy nem tud hatékonyan dolgozni a CVS-el. A Linux fejlesztése során most a BitKeepert használják.

Ericsson R600 akku hack by Danko ;))

 ( trey | 2002. július 28., vasárnap - 16:11 )

Szerdán közzé tettem egy HOWTO-t, amely leírja, hogy "hogyan internetezzünk R600-as Ericsson telefonnal GPRS-en keresztül". Akkor Danko írta, hogy a stuffnak van egy nagy hátránya. Mégpedig az, hogy nem lehet egyszerre internetezni, és tölteni az Ericsson R600-as telefont. És akkor ígértük, hogy megpróbálunk valami megoldást találni erre a problámára, mert a kábel, amivel ezt meg lehet valósítani, az nem olcsó. Danko meghax0lta a telefont, és sikerült neki megoldani a problémát. Aki követni akarja, annak itt a HOWTO:

!!!MINDENKI CSAK SAJÁT FELELŐSÉGRE CSINÁLJA!!!!