Serwer sponsorowany przez:
EMiD
EMiD Sp. z.o.o.

security advisory

Starsze wpisy

Aktualności w pigułce, czyli podsumowanie kwietnia, maja, czerwca i lipca…

Opublikowano 8 sierpnia 2011 | Autor: dareios

Po małej przerwie spowodowanej ………………….. (wstaw wymówkę), postanowiłem nadgonić z newsami. Oto podsumowanie czterech miesięcy (od ostatniego newsa), w czasie których pojawiły się nowe SA, dołączyło kilku nowych deweloperów, odbyło się zebranie Fundacji NetBSD oraz Projekt NetBSD wspólnie z FreeBSD pozyskały prawa autorskie do libcxxrt. Zapraszam do lektury…

Poprawki bezpieczeństwa

  • NetBSD SA 2011-005
    Program klienta DHCP od ISC nie obcina wyrażeń regularnych, co otwiera atakującemu z dostępem do serwera możliwość zdalnego wykonania kodu na maszynie klienckiej. Podatne wersje to: 4.0, 4.0.*, 5.0, 5.1, NetBSD-current starszy niż 06/04/2011, a także pakiet pkgsrc isc-dhclient4 starszy niż 4.2.1-P1. Pełen opis oraz instrukcja łatania znajduje się pod adresem:
    http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2011-005.txt.asc (j. ang.)
  • NetBSD SA 2011-006
    Defekt w podatnych wersjach BIND 9 umożliwia atakującemu wykonanie zdalnego ataku DoS poprzez wysłanie specjalnie spreparowanego pakietu. Podatne wersje to: 4.0, 4.0.*, 5.0, 5.1, NetBSD-current do 06/07/2011 oraz pakiety pkgsrc net/bind96, net/bind97 and net/bind98 starsze niż 06/07/2011. Pełen opis oraz instrukcja łatania znajduje się pod adresem:
    http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2011-006.txt.asc (j. ang.)

Należy pamiętać, iż wersje NetBSD starsze niż 4.0 nie są już wspierane.

Biblioteka uruchomieniowa C++ libcxxrt na licencji BSD

Fundacja FreeBSD wraz z Fundacją NetBSD poinformowały dnia 23 maja 2011 roku, iż nabyły niewyłączne prawa autorskie do biblioteki uruchomieniowej C++ libcxxrt od PathScale, lidera w produkcji wysokiej wydajności kompilatorów języków takich jak Fortran, C i C++ dla platformy AMD64, Intel64 oraz MIPS. Biblioteka ta jest implementacją C++ ABI oryginalnie stworzonego dla platformy Itanium, a teraz używanego dla platform x86 w systemach BSD. Libcxxrt będzie dostępne na zasadach 2-klauzulowej licencji BSD. Komunikat prasowy w języku angielskim można znaleźć pod adresem: http://netbsd.org/foundation/press/libcxxrt2011.html

Nowi deweloperzy

Szeregi deweloperów zostały powiększone o cztery osoby:

  • Aleksey Cheusov (login: cheusov), który zajmować się będzie kolekcją pakietów.
  • Alexander Nasonov (login: alnsn), który również zajmować się będzie kolekcją pakietów.
  • Matthew Sporleder (login: mspo), który również zajmować się będzie kolekcją pakietów, a dodatkowo dokumentacją oraz dokumentacją strony www.
  • Taylor R. Campbell (login: riastradh), który będzie zajmował się naprawianiem błędów.

Witamy serdecznie!

Zebranie fundacji NetBSD

Tegoroczne zebranie Fundacji NetBSD o nazwie Annual Group Meeting odbyło się w sobotę, 21 maja 2011.
Na zebraniu, które raz w roku organizowane jest online, pojawiło się ponad 80 deweloperów. Podsumowano znaczące prace wykonane w minionym roku oraz omówiono plany na przyszły rok związane z finansami, marketingiem, stroną www, administracją serwerami, wydaniami, bezpieczeństwem, kolekcją pakietów pkgsrc oraz wieloma innymi tematami.

Opublikowano Aktualności, Bezpieczeństwo | Otagowano , , | Skomentuj

NetBSD SA 2011-004

Opublikowano 8 kwietnia 2011 | Autor: dareios

Złośliwy pakiet zawierający nagłówki RFC 3173 – IPComp (IP Payload Compression Protocol) może spowodować zawieszenie jądra systemu z powodu wyczerpania stosu, jeśli opcja IPSEC jest wkompilowana. W niektórych przypadkach pamięć jądra może zostać nadpisana. W jądrach z wkompilowaną opcją FAST_IPSEC, wystarczająca ilość takich pakietów może spowodować DoS (denial of service).

Ani IPSEC, ani też FAST_IPSEC nie są domyślnie wkompilowane w jądra NetBSD.

Podatne są wersje: 4.0, 4.0.*, 5.0, 5.0.*, 5.1 oraz drzewo -current starsze niż 1 kwietnia 2011. Przypominamy, że wersje starsze niż 4.0 nie są wspierane i poprawki nie będą do nich wydawane.

Więcej informacji oraz instrukcja łatania:
http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2011-004.txt.asc (j. ang.).

Opublikowano Bezpieczeństwo | Otagowano | Skomentuj

Łatania dziur ciąg dalszy oraz nowy deweloper.

Opublikowano 9 marca 2011 | Autor: dareios

Do grona deweloperów dołączył Brian Buhrow (login: buhrow), który będzie pracował nad rozwojem sterowników urządzeń, portem i386 oraz zamykaniem zgłaszanych przeż użytkowników problemów (zwanych skrótem PR od Problem Report). Witamy serdecznie!

A do połatania tym razem mamy jądro, bind oraz OpenSSL:

  • NetBSD SA 2011-003
    Wykorzystując lukę w zarządzaniu kern.proc w sysctl’u, która nie sprawdza wejścia i przydziela pamięć jądra bazując na wartości kontrolowanej przez użytkownika (liczba argumentów w komendzie). atakujący może spowodować wyczerpanie pamięci jądra, co może doprowadzić do zawieszenia jądra systemu. Podatne są wersje 4.0.*, 5.0, 5.0.*, 5.1 oraz current do 4 marca 2011. Pełny opis błędu oraz instrukcja łatania dostępne pod:
    http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2011-003.txt.asc (j. ang.)
  • NetBSD SA 2011-002
    Nieprawidłowo sformatowane handshake’i ClientHello mogą powodować, że OpenSSL będzie przetwarzał dane znajdujące się poza końcem tych wiadomości. Wykorzystując tę lukę, atakujący może spowodować atak DoS poprzez wywołanie nieprawidłowego dostępu do obszarów pamięci, a także uzyskać dostęp do obszarów pamięci znajdujących się zaraz za ClienHello. Podatne są wersje 4.0, 4.0.*, 5.0, 5.0.*, 5.1, current do 11 lutego 2011, a także openssl w pkgsrc wcześniejszy niż wersja 0.9.8.qnb1. Pełny opis błędu oraz instrukcja łatania dostępne pod:
    http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2011-002.txt.asc (j. ang.)
  • NetBSD SA 2011-001
    Dodawanie pewnych typów podpisanych negatywnych odpowiedzi do pamięci podręcznej serwera nazw named (bind) nie czyści żadnych pasujących rekordów RRSIG, które już tam się znajdują. Późniejsze próby odczytania tych danych mogą spowodować zawieszenie się serwera nazw. Podatne są wersje 4.0, 4.0.*, 5.0, 5.1, current do 3 grudnia 2010 oraz bind97 w pkgsrc wcześniejszy niż wersje 9.7.2pl3 lub 9.6.2pl3. Pełny opis błędu oraz instrukcja łatania dostępne pod:
    http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2011-001.txt.asc (j. ang.)
Opublikowano Aktualności, Bezpieczeństwo | Otagowano , | Skomentuj

NetBSD SA2010-012 i -013 czyli OpenSSL TLS race condition i UDP6 DoS

Opublikowano 1 grudnia 2010 | Autor: dareios

29 października światło dzienne ujrzały dwa nowe SA:

  • NetBSD SA 2010-012
    Luka opisana w CVE-2010-3864 została znaleziona w OpenSSL i umożliwa przeprowadzenie ataku DoS lub wykorzystanie w celu uruchomienia kodu poprzez przepełnienie bufora. Luka ta nie stwarza zagrożenia ani serwerowi HTTP Apache, ani też innym demonom dostarczonym wraz z NetBSD. Podatne wersje to: 5.0, 5.0.*, 5.1, -current sprzed 18 listopada 2010, a także paczka pkgsrc starsza niż 0.9.8p. Pełny opis oraz instrukcja łatania pod adresem: http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2010-012.txt.asc (j. ang.)
  • NetBSD SA 2010-013
    Funkcja udp6_output() niepoprawnie zarządza parametrami, przez co umożliwia lokalnemu użytkownikowi zawieszenie systemu poprzez wysłanie odpowiednio spreparowanego datagramu UDP6. Błąd dotyczy wyłącznie systemów skompilowanych z opcją INET6 w jądrze. Podatne wersje to: 4.0, 4.0.*, 5.0, 5.0.* oraz -current sprzed 15 lipca 2010. Pełny opis oraz instrukcja łatania pod adresem: http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2010-013.txt.asc (j. ang.)

Łatajcie swoje systemy.

Opublikowano Bezpieczeństwo | Otagowano , | Skomentuj

Podsumowanie września/października, czyli nowy deweloper i garść SA.

Opublikowano 9 listopada 2010 | Autor: dareios

Z powodu braku czasu jesteśmy troszkę w tyle z aktualnościami ze świata NetBSD i należy to nadrobić, więc informujemy iż 1 października 2010 do projektu NetBSD dołączył nowy deweloper, Zoltan Arnold NAGY (login: zoltan), który będzie pracował nad bootloader’em, biblioteką libsa, oraz środowiskiem sieciowym. Oprócz tego (jakby ktoś przeoczył) ukazały się następujące luki bezpieczeństwa:

Należy pamiętać iż wersje NetBSD starsze niż 4.0 nie są wspierane. To by było na tyle, łatajcie swoje systemy ;)

Opublikowano Aktualności, Bezpieczeństwo | Otagowano , , | Skomentuj
Starsze wpisy
NetBSD.pl, Copyright © 2005-2011 Wszelkie prawa zastrzeżone.