Serwer sponsorowany przez:
EMiD Sp. z.o.o.
NetBSD SA2010-007 – luka w libbz2
Luka opisana w CVE-2010-0405 dotyczy dekompresji i może spowodować lokalny lub zdalny atak DoS lub też umożliwić uruchomienie kodu w programie, który próbuje dekompresować strumienie kontrolowane przez atakującego.
Podatne wersje systemu to: 4.0.1, 5.0, NetBSD-current (źródła do 21 września 2010). Należy pamiętać iż wersje wcześniejsze niż 4.0 nie są już wspierane. W pkgsrc podatne są wszystkie wersje bzip2 wcześniejsze niż 1.0.6.
Instrukcja aktualizacji oraz pełna treść SA dostępne pod adresem http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2010-007.txt.asc.
NetBSD SA2010-006 – luka w CODA.
Wczoraj wieczorem opublikowane zostało nowe SA dotyczące luki bezpieczeństwa w module jądra odpowiedzialnym za obsługę systemu plików CODA. Moduł ten niepoprawnie sprawdza limity długości buforów umożliwiając nieuprzywilejowanemu użytkownikowi odczyt zawartości pamięci jądra.
Podatne na tą lukę są wszystkie wersje NetBSD od 4.0 do 5.0.2 a także drzewo NetBSD-current do 20 lipca 2010.
Osoby używające tego systemu plików powinny niezwłocznie wykonać aktualizację jądra systemu. Instrukcja aktualizacji oraz pełna treść SA dostępne pod adresem http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2010-006.txt.asc
NetBSD SA2010-003 azalia(4)/hdaudio(4)
Lokalny użytkownik może wykorzystując te drivery spowodować kernel panic.
Z datą 2 lutego 2010 opublikowane zostalo kolejne Security Advisory.
Podatne są aktualne wersje systemu starsze niż z 22 stycznia (dla -current 21 stycznia). Więcej informacji (po ang.) pod adresem
http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2010-003.txt.asc
NetBSD-SA2010-001 i -002: VFS DoS oraz TLS Man-in-the-Middle
Pojawiły się dwa nowe ostrzeżenia o problemach związanych z bezpieczeństwem. Więcej informacji (po ang.) pod adresami:
http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2010-001.txt.asc
i
http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2010-002.txt.asc
Niestety sugerowany sposób upgrade w aktualnej wersji informacji o SA2010-002 nie działa ani dla wersji 5.* ani 4.* (błąd w rodzaju „don’t know how to make src/lib/libcrypto/libcrypto.so”).
W przypadku 4.0.1_PATCH wydaje się, że pomogło ręczne przebudowanie libcrypto przed libssl.
AKTUALIZACJA:
Daniel „morr” Horecki zwrócił uwagę na uaktualnione informacje dotyczące tych Secirity Advisories:
http://mail-index.netbsd.org/netbsd-announce/2010/02/02/msg000093.html
http://mail-index.netbsd.org/netbsd-announce/2010/02/02/msg000094.html
NetBSD-SA2009-11 do 13
Kolejne Security Advisories dotyczą BINDa, SHA2 i DHCP. Więcej informacji (po ang.) pod adresem http://netbsd.org/changes/#sa-29Jul-NetBSD-SA2009-013-new
- NetBSD-SA2011-009 BIND resolver DoS
- NetBSD-SA2011-008 OpenPAM privilege escalation
- NetBSD-SA2011-007 LZW decoding loop on manipulated compressed files
- NetBSD-SA2011-006 BIND DoS via packet with rrtype zero
- NetBSD-SA2011-005 ISC dhclient does not strip shell meta-characters in
- NetBSD-SA2011-004 Kernel stack overflow via nested IPCOMP packet
- NetBSD-SA2011-003 Exhausting kernel memory from user controlled value
- New version, p5-DBD-postgresql-2.18.1 to p5-DBD-postgresql-2.19.2
- New package, hplip-3.12.4
- New version, cvsd-1.0.22 to cvsd-1.0.23
- New version, gtk3+-3.4.3 to gtk3+-3.4.3nb1
- New version, kermit-9.0.302nb1 to kermit-9.0.302nb2
- New version, symon-2.82 to symon-2.85
- New version, p5-AuthCAS-1.5 to p5-AuthCAS-1.5nb1
Najnowsze komentarze