Red Hat Biztonságos Webszerver hibajegy

 ( gyu | 2002. augusztus 7., szerda - 15:17 )

A Red Hat frissítette a secureweb csomagokat, ezzel javítva az mm könyvtárban levő átmentei fájlok megnyitásával kapcsolatos sebezhetőségeket. A hibáról részletes infókat a régebbi debianos cikkünkben illetve az idevonatkozó CAN-2002-0658-as CVE-hibajegyben találsz.

Debian DVD + jigdo -> Debian CD

 ( gyu | 2002. augusztus 7., szerda - 14:58 )

Egy ötletemet szeretném megosztani az érdeklődő közönséggel.

Az ötlet kiindulása az volt, hogy otthonra hazavittem a Debian DVD image-ét. No nem mintha lenne otthon DVD olvasóm, vagy bármim, amiben használni tudnám, csak régi szokásom, hogy loopback device-ra felmountolom a CD-imageket, és az apt sources.list-jébe pedig beírom a csatolási pontokat, így duplán jól járok. Ha valamilyen csomag kell hirtelenjében, akkor nem kell a CD-készlet csereberélésével zsonglőrködnöm, illetve ha egy ismerősömnek szeretnék egy készlet debian-t írni, az image-k eleve ott vannak a vinyón.

Ez rendesen ment is a 3 potato CD-vel meg a 2 extra CD-vel. De a woody már 7 CD, és csak 1 szabad loopback eszközöm maradna. Ezért találtam ki az új ötletem:

Debian Weekly News - 2002. Augusztus 6.

 ( gyu | 2002. augusztus 7., szerda - 11:01 )

Megjelent a DWN, a Debian közösség szokásos heti hírlevelének soron következő, harmincadik száma.

A tartalomból:

Új BSDs fórumoldal

 ( gyu | 2002. augusztus 7., szerda - 9:59 )

Egy új BSD-s oldal jelent meg az interneten. Az oldal célbaveszi a kezdő felhasználókat, a felhasználókat, és a rendszergazdákat is. De egyébként is hasznos lehet minden BSD usernek. Az oldal neve: screaming electron.

És a rajta lévő fórumot elérheted itt.

(Az oldal ujdonságát jelzi az is, hogy én még csak a 11. regisztrált felhasználójuk vagyok :-) )

Marcello Tosatti:2.4.20-pre1

 ( gyu | 2002. augusztus 6., kedd - 20:25 )

Most, hogy már a 2.4.19 kijött, megjelent az első pre-patch a 2.4.20-ból is. Elég sok minden változott, de a változások jórészt bugfixekből, és driver update-kből állnak. Kivétel a NAPI (High Performance Networking, lásd az LWN 2001 Október 4-i erről szóló cikkét), valamint az x86-64 beolvasztása. Marcello szerint a 2.4.20 kiadási ciklusa gyorsabb lesz mint a 2.4.19-é volt. (Hmm... mintha aj is ezt igérné a sarge-ról :-) ) Illetve, hogy pontosak legyünk, a NAPI napirendre került, de Marcello az utolsó pillanatban eltávolította:-)

Marcello bejelentése:

DSA 144-1 Az új wwwoffle csomag javítja a biztonsággal kapcsolatos problémákat

 ( gyu | 2002. augusztus 6., kedd - 12:09 )

Csomag: wwwoffle

Sebezhetőség: nem megfelelő input kezelés

Probléma-típus: helyi

Debian-specifikus: nem

CVE Id: CAN-2002-0818



Egy problémát fedeztek fel a wwwoffle-val kapcsolatban. A web proxy nem kezeli megfelelően az input data-t, ahol a Content-Length beállítás egy negatív szám, és a feldolgozást végző gyerekprocesszt összeomlasztja. Jelenleg nem világos, hogyan lehetne ezt a sebezhetőséget kihasználmi, habár jobb biztonságban lenni, mint sajnálkozni, szóval itt a frissítés.

Zack Brown: Kernel Traffic #178

 ( gyu | 2002. augusztus 6., kedd - 10:33 )

Megjelent a Zack Brown által karbantartott heti rendszerességgel megjelenő LKML (Linux Kernel Mailing List) levelezési lista kivonatos formája.

A tartalomból:

DSA 143-1 Az új krb5 csomagok javítják az ''egész''-túlcsordulási hibát

 ( gyu | 2002. augusztus 6., kedd - 10:22 )

Csomag: krb5

Sebezhetőség: egész túlcsordulás

Probléma-típus: távoli

Debian-specifikus: nem

CERT hibajegy: VU#192995



Egy egész túlcsordulási hibát találtak az RPC könyvtárban, amit a Kerberos 5 adminisztrációs rendszer is használ. Az említett RPC könyvtár a SunRPC könyvtárból származik. Ezt a hibát ki lehet használni jogosulatlan root szerzésre egy KDC hoszton. Úgy hiszik, hogy a támadónak autentikálnia kell tudnia magát a kadmin démon felé, hogy a támadása sikeres legyen. Jelenleg nem ismeretes létező törés.

Dreamcast mint hacker-tool

 ( rooney | 2002. augusztus 6., kedd - 9:47 )

Dreamcast mint hacker-tool, avagy egy hálózatot nem csak külső támadásoktól kell védeni.

valami ilyesmivel foglalkozik a következő cikk.

MPlayer 0.90-pre6 released

 ( Anonymous | 2002. augusztus 6., kedd - 9:46 )

2 hónapnyi "tesztelés" után kiadtunk még egy pre-t, remélhetőleg ez már tényleg az utolsú a stable előtt.
Addigis, upgrade pre5-ről vagy régebbiről kötelező, túl sok minden lett kijavítva azóta. Mellesleg van benne realvideo, sorenson v1 meg nativ wmv1 support is :)

Changelog (egyelőre csak angolul) meg ilyesmi a szokott helyen: www.MPlayerHQ.hu



A'rpi

Magyar LinuxGaming portál. -- WineX 2.1 debek illetve rpmek.

 ( thuglife | 2002. augusztus 5., hétfő - 17:04 )

Egy újonan induló portálhoz keresek segitséget.

http://ers.linuxforum.hu | Illetve WineX 2.0 és 2.1 es debek és rpm-ek ugyanitt elérhet?ek. Szeretettel várom a leveleket: thuglife@linuxforum.hu

DSA 142-1 Az új OpenAFS csomagok javítják az ''egész''túlcsordulási hibát

 ( gyu | 2002. augusztus 5., hétfő - 13:11 )

Csomag: openafs

Sebezhet?ség: egész túlcsordulás

Proobléma-típus: távoli

Debian-specifikus: nem



Egy egész túlcsordulási hibát fedeztek fel az RPC könyvtárban amit az OpenAFS adatbázisszerver használ, és az említett könyvtár a SunRPC könyvtárból származik. Ezt a hibát ki lehet használni hogy összeomlasszunk bizonyos OpenAFS szervereket (volserverr, vlserverr, ptserver, buserver) vagy jogosulatlanul root hozzáférést szerezzünk, egy olyan gépen, ami futtatja a fenti processzek valamelyikét. Még nem ismeretes léteez? exploit a hibára.

DSA 140-2 Az új libpng csomagok javítanak egy lehetséges puffertúlcsordulást

 ( gyu | 2002. augusztus 5., hétfő - 12:10 )

Csomag: libpng, libpng3

Sebezhetőség: Puffer-túlcsordulás

Probléma-típus: távoli

Debian-specifikus: nem



Kiegészítésként a DSA-140-1-es biztonsági hibajegyhez az alábbi csomagok javítást tartalmaznak egy lehetséges puffer-túlcsordulási hibára. A PNG könyvtár megvalósít egy biztonsági-ráhagyást, amit szintén betettek az "upstream" kiadásba. Köszönet illeti Glenn Randers-Pehrson-t, aki informálta a Debian Security Team-et.

Új IBM cluster

 ( bra | 2002. augusztus 5., hétfő - 11:45 )

Az IBM pénteken bejelentette, hogy az eddigi 16 helyett már 32 gépre tanúsított az IBM Cluster 1600.

Az Apple platformot vált?

 ( bra | 2002. augusztus 5., hétfő - 11:21 )

Érdekes hírek terjengenek az Apple háza táján. Egyesek szerint a cég szép lassan leáll az IBM/Motorola által gyártott PowerPC processzorokra épített gépekkel és a nagyobb teljesítményű Intel chipekre vált.

Solaris 10 tervek

 ( bra | 2002. augusztus 5., hétfő - 11:00 )

A Sun Microsystems bejelentette következő operációs rendszerével, a Solaris 10-zel kapcsolatos terveit.

Grafikus OpenBSD telepítő

 ( bra | 2002. augusztus 5., hétfő - 10:04 )

A G.O.B.I.E., azaz a Graphic OpenBSD Installation Engine egy olyan projekt, amelyet Theo de Raadt egészen biztosan messziről el fog kerülni :)
A G.O.B.I.E. célja egy grafikus telepítő létrehozása OpenBSD-hez, amelyet hat francia diák indított el nemrég. A telepítő maga az XFree86 4.2.0-ás verzióját és jónéhány újraírt, a rendszer beállításához szükséges alkalmazást (pld. disklabel és fdisk) tartalmaz. A csapat ígérete szerint nemsokára letölthető lesz egy ISO is, amely már ezt az installert használja.

Kapcsolódó oldalak:
A projekt weblapja

Yeah, holiday....

 ( trey | 2002. augusztus 3., szombat - 9:15 )

Elmegyek nyaralni, nem leszek számítógépközelben egy hétig. Aggódni nem kell :-), szerintem bra és gyu frissíteni fogják az oldalt, ha idejük engedi. Ahova megyek ott nem lesz internet kapcsolat (világ vége), az egyedüli kapcsolatom a külvilággal a communikátorom lesz. Olvasni fogom tudni az oldalt, de postolni sajnos a mostani mobil-internet árak mellett szinte képtelenség lenne :-( (nem, nincs GPRS-em. még...)

Sebaj, egy hét múlva itt vagyok =)

Marcelo Tosatti: Linux 2.4.19

 ( trey | 2002. augusztus 3., szombat - 8:24 )

Megjelent a legfrissebb stabil kernel, a 2.4.19-es. Változás nem történt, a release candidate 5 került végül kiadásra.

Letölthető FULL, patch.

Változások:

MPlayer a Sharp Zaurus-ra

 ( trey | 2002. augusztus 2., péntek - 23:04 )

Ma írtam, hogy a TheKompany cég kiadott egy tkcvideo nevű programot a Sharp linux-alapú kézi gépére, amellyel akár DivX formátumú filmeket nézhetünk a kütyün. Viccből megemlítettem, hogy portolni kellene az MPlayert Zaurus-ra, mert a tkcvideo nem ingyenes, meg az MPlayer amúgy is a szívem egyik csücske ;)

Hát elkéstem a portolási felhívással. Árpi hívta fel a figyelememet arra, hogy valaki már említette az mplayer-users@ listán, hogy az MPlayer működik a Sharp Zaurus-on.

Mandrake 9.0 BETA2 és CD-ROM imagek

 ( Chrissom | 2002. augusztus 2., péntek - 22:25 )

Nem is olyan rég elkezdett feltünedezni a Mandrake 9.0 BETA2 verziója a mirrorokon.


Vettem a bátorságot, hogy legyen magyar is ebből :)

Transgaming.com: WineX 2.1 unleashed!

 ( trey | 2002. augusztus 2., péntek - 19:11 )

A Transgaming.com tegnap bejelentette a Winex 2.1-et, mellyel lehetőségünk nyílik az eddiginél jóval több windowsra írt játékot futtani Linux alatt. A Transgamerek letölthetik (nem ingyen) a winex 2.1-et RPM, DEB, és TGZ csomagban. Az oldalon olvashatjuk a szokásos szöveget, a Transgaming fejlesztőinek sikerült a világ eddig leggyorsabban fogyó játékát, a WarCraft III-at is futtani Linux alatt a winex segítségével. Ezen kívül még olyan játékok működnek a winex új verziójával, mint a Civilization 3, Grand Theft Auto 3 a Black & White, stb. Ebben a verzióban már működik a WarCraft III-ban a video betétéek (cutscenes) lejátszása is.

Featurek:

DSA 141-1 mpack puffer túlcsordulás

 ( szogi | 2002. augusztus 2., péntek - 12:28 )

Csomag: mpack

Sebezhetőség: buffer overflow

Probléma típusa: távoli

Debian specifikus: nem




Eckehard Berns egy nem debian specifikus puffertúlcsordulást felfedezett fel a mupack programban, amit binaris - MIME dekódoláshoz használnak e-mail-ekben. Ezzel a hibával akár tetszőleges kód is lefuttatható. Azonnali frissítés javasolt...

Felhívás a közreműködők, cikk beküldők részére

 ( trey | 2002. augusztus 2., péntek - 10:38 )

Hmm, már régebben is meg akartam írni ezt a dolgot, de valahogy mindig elmaradt. A mai magyar online Linux oldalak hozzáállásával és mentalitásával kapcsolatban.

Naponta nézem a külföldi, és a magyar Unix, Linux online újságokat. Itt nálunk azt vettem észre, hogy egy részük (itt felhívom a figyelmet arra, hogy tisztelet a kivételnek, és akinek nem inge...., stb, mielőtt még óriási flame lenne a dologból) ötlettelen, és nem csinál mást mint, más oldalakról szó szerint kopizza (igen-igen cut & paste) a híreket. Ezzel csak egy bajom van. Ahogy végignézem a magyar oldalakat mindenhol ugyanazt a cikket látom. Ennek semmi értelme. Nincs értelme annak, hogy egy oldalra valaki beküld egy hírt, vagy az ottani team készít egy hírt, és azt más oldalra bemásolják, beküldik.

A világ legnagyobb, Grid számítógépes erőforrása

 ( gorog | 2002. augusztus 2., péntek - 10:16 )

9,2 teraflop kapacitású HP-szuperszámítógépet telepítenek az Egyesült Államokban, amely a legnagyobb Grid számítógépes erőforrás lesz a világon.