Topic: Sun RPC XDR dekóder 'buffer overflow' hibát tartalmaz
Kategória: core
Modul: libc
Bejelentve: 2002-07-31
Közreműködők: ISS X-Force
Érintett rendszerek: Az összes FreeBSD kiadás, beleértve a 4.6.1-RELEASE-p3 -at is
Javítva:


2002-07-31 14:45:29 UTC (RELENG_4)
2002-07-31 14:47:02 UTC (RELENG_4_6)
2002-07-31 14:49:18 UTC (RELENG_4_5)
2002-07-31 14:50:18 UTC (RELENG_4_4)


FreeBSD specifikus: nem

A bejelentés:

Hmm. Elég régen jelentkeztem a 2.5-ös kernel státusz riporttal. Lássuk csak mit dolgoztak a kernelfejlesztők az elmúlt majdnem egy hónapban.

Csomag: gallery
Támadhatóság: remote exploit
Probléma-típus: távoli
Debian-specifikus: nem

Problémát találtak a gallery (web alapú fotó album) eszközben. A probléma a GALLERY_BASEDIR változóval van. A hibát kihasználva lehetőség nyílhat arra, hogy a webszerveren parancsokat hajtson végre a rosszindulatú támadó a webszervert futtató felhasználó nevében (uid).

A hiba javítva van az 1.2.5-7 verziójú Debian csomagban.

Az eredeti hibajelentés: DSA-138-1
Frissétésről szóló FAQ

Miután feltűnt néhány kritikus hiba (elsődlegesen a d_unhash() SMP race) itt az rc4.

Letölthető: patch-2.4.19-rc4.gz

Változások:

Sebastian Krahmer [krahmer@suse.de] egy kihasználható 'race condition' típusú hibát talált a FreeBSD pppd implementációjában. A hiba FreeBSd összes kiadását érinti, beleértve a 4.6.1-RELEASE-p1-t is. A hiba javítva van az alábbi kiadásokban:

2002-07-30 03:50:40 UTC (RELENG_4)
2002-07-30 19:15:52 UTC (RELENG_4_6)
2002-07-30 19:16:46 UTC (RELENG_4_5)
2002-07-30 19:17:27 UTC (RELENG_4_4)

A hiba nem FreeBSD specifikus. A javítás, workaround, patch és egyébb információkért olvasd el a bejelentést:

Erősen a nyárban vagyunk, éppen a szabadságolások közepette. Sokan rendelkezünk böngészésre alkalmas mobiltelefonnal, PDA készülékkel (ez ilyen informatikus betegség lehet :-) Többen kérték tőlem, hogy jó volna a ha lenne a Hungarian Unix Portal-nak PDA/WAP barát verziója, mert így a szabadság ideje alatt sem kellene nélkülözni a Unix világ híreit. Hát igen, ebben a világba egy hét kihagyás tényleg sok lenne :-)

Megjelent a DWN, a Debian közösség szokásos heti hírlevelének soron következő, huszonkilencedik száma. A tartalomból:

Nem sokkal az után, hogy Linus széles nyilvánosság előtt kijelentette, hogy azt szeretné, ha az AMD x86-64 processzor architektúra győzedelmeskedne az Intel Itanium IA-64 design felett, az IBM az AMD és a SuSE Linux bejelentették, hogy készek az IBM népszerű adatbázis kezelőjének, a DB2-nek az AMD új Opteron 64-bit-es processzorára való portolására.

Csomag: mm

Támadhatóság: Nembiztonságos ideiglenes fájlok

Probléma-típus: helyi

Debian-specifikus: nem

CVE Id: CAN-2002-0658



Marcus Meissner és Sebastian Krahmer fedezte fel és javította egy tempfájl-támadhatóságot az mm nevû osztott memóriakönyvtárban. Ez a probléma kihasználható root-jogosultságok szerzésére egy olyan gépen, ami apache-ot futtat, és az apache ehhez az osztott könyvtárhoz van linkelve. Feltéve ha egy user hozzáfér egy eleve adott "www-data" shellhez (amit könnyen lehet szerezni pl. a PHP-n keresztül.)

Na itt a nagy UHU láz közepette Alan Cox is kiadta következõ foltját a 2.4.19rc3-as kernelhez :-)

A stuff letölthetõ:
patch-2.4.19-rc3-ac5.gz

Változások:

Kijött az UHU-Linux BETA 3.1-es verziója is.
Hivatalos ftp és egy mirror.

Csomag : openssl

Probléma típus: több távolról kihasználható hiba

Debian-specifikus: nem

CVE: CAN-2002-0655 CAN-2002-0656 CAN-2002-0657 CAN-2002-0659



Az OpenSSL fejlesztõi team bejelentette, hogy A.L Digital LTD.-tõl és a DARPA CHATS programjához tartozó "The Bunker" által végzett security audit több távolról kihasználható puffer-túlcsordulási hibát talált az OpenSSL kódjában. Továbbá az OpenSSL ASN1 értelmezõje lehetséges, hogy DoS-ra érzékeny, amely hibát egymástól függetlenül talált meg Adi Stav és James Yonan.

Szal kijött a második Red Hat Limbo BETA.
Magyar mirror a csomagokhoz és az ISO image-ekhez.

Megjelent a magyar fejlesztésű UHU Linux 3. beta verziója. Letölthető az ftp.uhulinux.hu szerverről.

Marc-Christian Petersen kiadta a WOLK legújabb RC kiadását. A következő már a végleges lesz. O(1) sheduler és OpenMosix merge-re lesz szükség - írja Peteren.

A WOLK - Working Overloaded Linux Kernels jelentéssel bír. Ez az elnevezés nem jelent mást, mint egy Linux kernelt, nagy számú patchcsel/bugfixszel és egy rakás új funkcióval. A WOLK project keretében jelenleg mintegy 450 patch kapott helyet a Linux kernelben. A patchek nagy része évek óta stabil, rengetegen használják, és általában a kernel fejlesztők idejének hiányában nem kerültek bele a mainline kernelbe. A WOLK project ezeket a patcheket szedi össze, és összescsiszolva egy nagy patch formájában juttatja el a felhasználókhoz.

A project honlapját megtalálod itt.

Változások:

Alan Cox negyedik foltja a 2.4.19rc3 kernelhez.

Letölthető: patch-2.4.19-rc3-ac4.gz

Változások:

Múlt héten pénteken megjelent a Red Hat Limbo második BETA kiadása.

"Köszönjük, hogy kipróbálod a Red Hat Linux BETA-t. A célja ennek a betanak az, hogy visszajelzéseket kapjunk a teszterektől, és azok alapján javítani tudjuk a disztribúciónkat."

A GNU Darwin project nekiállt néhány BSD-stílusú csomagot portolni Linuxra. Ezek közül néhányat már elérhetővé, letölthetővé is tettek. A project szerint készen állnak arra, hogy nagy mennyiségű csomag kollekciót portoljanak Linux csomag formára.

Sokakban bizonyára felmerül a kérdés, hogy mi az a GNU-Darwin, és mire is jó ez az egész? Hát lássuk:

A GNU-Darwin az Apple Darwin projectjének a folytatása, forkja amelynek célja egy Darwin alapú Unix rendszer készítése. A projectnek két fő célja van, az egyik hogy felhívja a figyelmet a Darwin/Mach egyedülálló képességeire, és hogy segítse az Apple szoftver felhasználókat az open source feeling megismerésében.

Az Apple Darwin rendszere egy BSD UNIX operációs rendszer, amely fejlett hálózatos képességekkel bír, tartalmazza az Apache webszervert, és támogatja a Macintosh és UNIX filerendszereket.

A cím egy kicsit elcsépeltnek tűnik. Naponta olvashatunk ilyen címmel cikkeket. A címet nem én találtam ki, a Varbusiness.com oldalán találtam a fenti címmel szereplő cikket.
Érdeklődve kezdtem el olvasni, hogy egy business névvel ellátott oldal éppen mit hoz ki győztesnek. Sokat nem csalódtam, de erről később.

Mark Fincher és Ray Bruni, a Varbusiness.com munkatársai egy cikket írtak, melyben 6 népszerű Linux disztribúciót nyúztak meg, szerintük alaposan. Ezek a disztribúciók a következők voltak: Caldera OpenLinux Server 3.1.1, Mandrake Linux 8.2, Red Hat Linux 7.3, Slackware 8.0, SuSE 8.0 és végül a Turbolinux 7 Server.

Big Mouth Billy Bass egy animációs eszközzel ellátott éneklő hal. A tervezője szerint a Linux az az operációs rendszer, amely a legalkalmasabb arra, hogy ezt a halat mozgassa. A készítő komolyan gondolja a dolgot, még projectet is alapított a fejlesztésre. Hosszú oldalakon keresztül írja le, hogy hogyan lehet egy ilyen éneklő halat elkészíteni, hogyan lehetne tökéletesebbé tenni.

A project honlapján természetesen részletes tutorial van, hogy "hogyan készítsük el a saját 'Big Mouth Billy Bass'-unkat" ;-). A készítő fényképekkel illusztrálja a készítés lépéseit.

Egyre több helyről hallani, hogy különböző országok kormányai a Linuxszal próbálkoznak, mint lehetséges Microsoft Windows + Office alternatíva. Céljuk, hogy megszüntessék azt a függést, amely a Microsofthoz köti őket. Így döntött legutóbb a Német, Norvég kormány, sőt híreket lehetett hallani arról, hogy Angliában is próbálkoznak Linuxszal az államigazgatásban.

A Hurd jelenleg csak a GNU Mach microkernelen fut, de jelenleg is folynak a portolási munkák, melynek célja, hogy a Hurd az újabb L4 microkernelt használhassa. Ez a cikk tartalmazza a Hurd/L4 port jelenlegi állását.

A tervezési különbségek a Mach és az L4 között (tulajdonképpen két teljesen különböző kernel) miatt, nagy mennyiségű infrastruktúrális munkát kell végezni, például a Virtual Memory Manager (VMM) átírása, a glibc portolása, és az eszközmeghajtók megírása szükséges.

A i3 micro technology (Stockholm, Svédország) 2002. márciusában a Cebiten (Hannover, Németország) bemutatta be a Mood Box névre hallgató eszközét. Az eszköz leírására a "next-generation set-top box" a legjobb jelző, mely diszítheti otthonunkat, szállodákat, konferencia termeket, és melynek segítségével lehetőségünk nyílik IP-alapú élő TV, video-on-demand, pay-per-view (fizetős műsorválasztás), music-on-demand, Internet böngészés, email, és más interaktív szolgáltatások igénybevételére.

(kép a folytatásban)

Pavel Machek (pavel@ucw.cz) egy levelet küldött az LKML-re, melyben bejelentette, hogy készített egy egyszerű BitKeeper <-> CVS gatewayt.

A BitKeeper használata nagy viharokat váltott ki a kernelfejlesztők között, és RMS (Richard M. Stallman) is többször szót emelt a használata ellen.

Egy kis emlékezet frissítés: A BitKeeper 1998-ban mutatkozott be, Larry McVoy hozta létre abból a célból, hogy segítse a kernel fejlesztés menetét. A BitKeeper tulajdonképpen egy CVS-t kiváltó eszköz, amolyan 'source code management system'. Linus többször hangoztatta, hogy nem tud hatékonyan dolgozni a CVS-el. A Linux fejlesztése során most a BitKeepert használják.

Szerdán közzé tettem egy HOWTO-t, amely leírja, hogy "hogyan internetezzünk R600-as Ericsson telefonnal GPRS-en keresztül". Akkor Danko írta, hogy a stuffnak van egy nagy hátránya. Mégpedig az, hogy nem lehet egyszerre internetezni, és tölteni az Ericsson R600-as telefont. És akkor ígértük, hogy megpróbálunk valami megoldást találni erre a problámára, mert a kábel, amivel ezt meg lehet valósítani, az nem olcsó. Danko meghax0lta a telefont, és sikerült neki megoldani a problémát. Aki követni akarja, annak itt a HOWTO:

!!!MINDENKI CSAK SAJÁT FELELŐSÉGRE CSINÁLJA!!!!