Biztonság

Nagyon nagy csend honol a slackware.hu háza táján. Sajnos az elmúlt hónapokban nem sok időm volt karbantartani az oldalt, de ezt a csendet szeretném megtörni egy bejelentéssel. Mint észrevehettétek az oldal új motort kapott ez pedig nem más mint a drupal 5.1–es verziója. Remélhetőleg ez a kis változás mást is „munkára” serkent.:)

Ha netán valamilyen hibával találkoznátok, kérlek jelezzétek nekem a zool [@] vinfo [dot] hu címre.

Bye Zool

A hup.hu-n a kővetkező hír látott napvilágot, ezt azért teszem közzé itt is, mert az előző cikkekkel eléggé szoros kapcsolatban áll.

Az Index cikke figyelmeztet, melyszerint a Quake 3 motorjában olyan hiba található, amelynek segítségével távoli shell nyitható egy célgépen egy szerveren keresztül. A hiba érinti az Enemy Territory 2.60, a Return to Castle Wolfenstein 1.41 és a Quake III Arena 1.32b programokat.

A mai nap úgy döntöttem, hogy a slackware.hu 4.6.6 drupal motorját frissítem az új 4.7-re. Az új verzió elég sok mindenben megújult. Kérlek titeket, hogy teszteljétek az új motort! Ha valami hibát észleltek jelezzétek nekem a ( zool at vinfo dot hu ). Előre is köszönöm!

• Új opcióként lehet képeket feltölteni a profilhoz, a képek maximális mérete 96x96-os.
• Skin foltozgatás ( a 4.6.6 nem kompatibilis )

Idő közben kiadatott még egy csomag:

• Elm: Puffer túlcsordulás

Bejelentés itt.

Nagy hirtelenjében majd' egy tucat hibajavítással állt elő Pat és csapata:

• imapd/pine: Puffer túlcsordulás
• php: Több hiba is javításra került
• apache: Távoli sebezhetőség
• lynx: Puffer túlcsordulás
• KOffice/KWord: Puffer túlcsordulás
• curl/wget: Puffer túlcsordulás

A bejelentések:
imapd/pine
php
apache
lynx
KOffice/KWord
curl/wget

Új X.org, Mozill és Firefox csomag jött ki.

A bejelentések:
X.org
Mozilla/Firefox

Új dhcpd és util-linux csomagot adott ki Pat.
A dhcpd-ben DoS sebezhetőséget, az util-linux-ban pedig az umount hibáját kihasználva helyi felhasználó root-jogot szerezhet.

A bejelentések: dhcpd, util-linux.

Új biztonsági frissítések kerültek napvilágra csütörtökön:
kcheckpass: Helyi felhasználó hozzáfér a lock fájlokhoz, amivel root jogokat szerzehet.
mod_ssl: Bizonyos helyzetben a kliens authentikáció nem zajlik le.
php5: Újrafordítva a az új PCRE lib-el. (Ez a PHP5 csomag a testing-ben van.)

Bejelentések:
kcheckpass
mod_ssl
PHP5

Pat kiadott egy összefoglalót: a utóbbi két hétben történt Current-ágbeli biztonsági frissítések vannak felsorolva benne.

Pat új PCRE, PHP és gaim csomagokat adott ki.

A PCRE-ben puffertúlcsordulás volt amit kihasználva kódot futtani illetve nagyob privilégiumot lehetett szerezni.
Új csomagot a PHP-ből a PCRE kapcsolódása miatt kellet kiadni és belekrült a PEAR::XMLRPC modul 1.4.0-s verziója is.
A GAIM AIM/ICQ részében szintén puffertúlcsordulást és az UTF-8 kódolású fájlok kezelését, valamint a Gadu-gadu részben memória kezelési hibát javítottak.

A bejelentések: PCRE, PHP, Gaim

Új tcpip csomagot adott ki Pat, mert súlyos hibát javítottak a telnet kliensben.

A bug-ot kihasználva túlcsordulást lehetett előidézni, majd kódot futtatni a kliens gépen, ha átalakított szerverhez csatlakozott a program.

A bejelentés itt