Szokásos heti FreeBSD Sec Adv-ok

Úgy látszik a FreeBSD népszerűvé vált, hisz mi mást jelenthetne az, hogy immár heti (no jó, kétheti) rendszerességgel látnak napvilágot újabb és újabb biztonsági javítások. Azt mondjuk nem értem, hogy miért mindig egy hullámban több, de nyilván kéthetente egy-egy esetleges rendszer/szolgáltatás kiesést könnyebb magyarázni, mint mondjuk 4-naponta - ebben azért van ráció. (Az meg, hogy közben tovább maradnak támadhatóak a gépek, azt az MS-féle peccs-kedd jól példázza: nem számít.) No lássuk:

Az első az igazi nyalánkság, DOS az sshd-ben. FreeBSD-specifikus, és a kerberizált sshd linkelési problémája.

A második szintén FreeBSD-specifikus, memóriatartalom szivárgás a setlogin/getlogin rendszerhívások környékén.

Végül a harmadik szintén csak a FreeBSD-t használók számára lehet érdekes (vajon van-e valahol még használatban wget/curl/ncftp/stb helyett a felokosított BSD-s ftp-kliens?) : az ftp kliensét egy rosszindulatú webszerver ráveheti tetszőleges parancs futatására. Nyami.

Jó szelet, jó szerencsét, és további elcsúszó 10.1-bejelentést!

( gmoore | 2014. 11. 05., sze – 07:28 )

Egyszerűen csak a 9-es verzió óta sokkal több linux-színvonalú kontribútora lett.

Affects: FreeBSD 9.1, 9.2 and 10.0.

Persze van 8-as vuln is, de a trend elég nyilvánvaló. 8.4-nél kell maradni.