Slackware Security 2004

Hier findet Ihr Themen die sonst nicht passen

Moderatoren: Administration, Linux-Supporter

Beitragvon Gast » 2004-07-21, 20:30

dies ist das erste advisory für die version 10.0 - und das erste seit über einem monat:

[slackware-security] PHP (SSA:2004-202-01)

New PHP packages are available for Slackware 8.1, 9.0, 9.1, 10.0, and -current
to fix security issues (memory_limit handling and a problem in the strip_tags
function). Sites using PHP should upgrade.

[slackware-security] PHP (SSA:2004-202-01)

//edit: gute Sache Slackware (der_schreiner)
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-07-26, 07:17

[slackware-security] new samba packages (SSA:2004-207-01)

New samba packages are available for Slackware 8.1, 9.0, 9.1, 10.0 and -current
to fix security issues.

[url=http://www.slackware.com/security/viewer.php?l=slackware-security&y=2004&m=slackware-security.407946]
[slackware-security] new samba packages (SSA:2004-207-01)[/url]
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-07-26, 07:18

[slackware-security] new mod_ssl packages (SSA:2004-207-02)

New mod_ssl packages are available for Slackware 8.1, 9.0, 9.1, 10.0
and -current to fix a security issue. A format string vulnerability in
mod_proxy hook functions could allow an attacker to run code as the mod_ssl
user. Sites using mod_ssl should upgrade (be sure to back up your existing
key files first).


[slackware-security] new mod_ssl packages (SSA:2004-207-02)
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-07-27, 07:24

[slackware-security] alternate samba package for Slackware 10.0 (SSA:2004-208-01)

It was pointed out that the new Samba packages for Slackware 10.0
(and -current) have a dependency on libattr.so that wasn't in the previous
packages. Since it's not the intent to introduce new requirements in
security patches (especially for stable versions), an alternate version
of the samba package is being made available that does not require
libattr.so.

The original samba-3.0.5-i486-1.tgz package for Slackware 10.0 will also
remain in the patches directory (at least for now, since it was just
referenced in a security advisory and the URL to it should remain working),
and because the original package works fine if the xfsprogs package (which
contains libattr) is installed. If you're running a full installation or
have xfsprogs installed, you do not need to update samba again.


[slackware-security] alternate samba package for Slackware 10.0 (SSA:2004-208-01)
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-08-10, 07:10

[slackware-security] libpng (SSA:2004-222-01)

New libpng packages are available for Slackware 8.1, 9.0, 9.1, 10.0,
and -current to fix security issues. These issues could cause program crashes,
or possibly allow arbitrary code embedded in a malicious PNG image to execute.
The PNG library is widely used within the system, so all sites should upgrade
to the new libpng package.

[slackware-security] libpng (SSA:2004-222-01)
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-08-11, 07:57

heute ist patch-day für alle slacker - der übersicht halber alle 4 patches in einem post:
___________________________________________
[slackware-security] sox (SSA:2004-223-03)

New sox packages are available for Slackware 8.1, 9.0, 9.1, 10.0, and -current
to fix buffer overflow security issues that could allow a malicious WAV file
to execute arbitrary code.
______________________________________________
[slackware-security] imagemagick (SSA:2004-223-02)

New imagemagick packages are available for Slackware 9.1, 10.0,
and -current to fix security issues with PNG images.
____________________________________________
[slackware-security] Mozilla (SSA:2004-223-01)

New Mozilla packages are available for Slackware 9.1, 10.0, and -current
to fix a number of security issues. Slackware 10.0 and -current were
upgraded to Mozilla 1.7.2, and Slackware 9.1 was upgraded to Mozilla 1.4.3.
As usual, new versions of Mozilla require new versions of things that link
with the Mozilla libraries, so for Slackware 10.0 and -current new versions
of epiphany, galeon, gaim, and mozilla-plugins have also been provided.
There don't appear to be epiphany and galeon versions that are compatible
with Mozilla 1.4.3 and the GNOME in Slackware 9.1, so these are not
provided and Epiphany and Galeon will be broken on Slackware 9.1 if the
new Mozilla package is installed. Furthermore, earlier versions of
Mozilla (such as the 1.3 series) were not fixed upstream, so versions
of Slackware earlier than 9.1 will remain vulnerable to these browser
issues. If you still use Slackware 9.0 or earlier, you may want to
consider removing Mozilla or upgrading to a newer version.
__________________________________________________

und (eigendlich wollte ich hier ja nur die aktuelle version supporten aber sei es drum)
[slackware-security] Slackware 9.0, libpng correction (SSA:2004-222-01b)

In the previous advisory for libpng (SSA:2004-222-01), the URL
provided for the Slackware 9.0 patch mistakenly pointed to the old
unpatched package. Slackware 9.0 users should follow the URL below
for the new package:

ftp://ftp.slackware.com/pub/slackware/s ... i486-3.tgz
_______________________________________________________

[slackware-security] sox (SSA:2004-223-03)

[slackware-security] imagemagick (SSA:2004-223-02)

[slackware-security] Mozilla (SSA:2004-223-01)
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-08-24, 19:25

[slackware-security] Qt (SSA:2004-236-01)


New Qt packages are available for Slackware 9.0, 9.1, 10.0, and -current to
fix security issues. Bugs in the routines that handle PNG, BMP, GIF, and
JPEG images may allow an attacker to cause unauthorized code to execute when
a specially crafted image file is processed. These flaws may also cause
crashes that lead to a denial of service.

keine wörtliche übersetzung sondern grob umrissen worum es geht:

für die versionen ab 9.0 wird die verwendung eines neuen qt-packetes empfohlen. die momentan verwendete version arbeitet nämlich mit grafiklibarys, die es einem angreifer unter umständen erlauben eigenen code auszuführen. dadurch kann es unter anderem zu programmabbrüchen kommen, die intern zur überlastung des entsprechenden prozesses führen.

kleine anmerkung: die qt-bibliotheken brauchen nur ausgetauscht werden, wenn qt verwendung findet - das ist immer dann der fall, wenn der kde oder seine bestandteile (als einzelprogramm) unter gnome, fluxbox, ... verwendet werden. maschinen die ohne X oder mit windowmanagern ohne qt-biblietheken arbeiten brauchen dementsprechend nicht gepatcht werden - trotzdem ist das einspielen des packetes sinnvoll (vielleicht wird schon morgen ein programm installiert das auf das qt-packet zugreift).

[slackware-security] Qt (SSA:2004-236-01)
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-08-27, 16:27

[slackware-security] gaim (SSA:2004-239-01)

New gaim packages are available for Slackware 9.1, 10.0 and -current to
fix several security issues. Sites that use GAIM should upgrade to the
new version.

mmhhhh - was soll ich sagen? es gibt wiedermal neue gaim-packete für die slackware-versionen 9.1 und 10.0, die mehrere sicherheitslücken schließen. alle, die gaim nutzen sollten schnellstmöglich upgraden.

noch ein paar worte dazu: gaim ist häufiger bei den patches dabei - für mich zu häufig! ich verwende diese messanger zwar eh nicht, gaim lehne ich jedoch aufgrund seines "instabilen" zustandes ab.
[url=http://www.slackware.com/security/viewer.php?l=slackware-security&y=2004&m=slackware-security.375602]
[slackware-security] gaim (SSA:2004-239-01)[/url]
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-08-28, 07:56

[slackware-security] gaim updated again (SSA:2004-240-01)

A couple of bugs were found in the gaim 0.82 release, and gaim-0.82.1
was released to fix them. In addition, gaim-encryption-2.29 did not
work with gaim-0.82 due to changes in the header files, so the
gaim-encryption plugin has also been updated to gaim-encryption-2.30.

einige fehler wurden in der gaim-release 0.8.2 gefunden, die nun durch die version 0.82.1 behoben werden soll. als folge der einzelfehler funktionierte der empfang der chiffrierten packete nicht mehr, da sich einige einträge in den headern der datenpackete geändert haben. dieser patch tauscht das chiffrierungs-plugin aus.

schon wieder gaim - was hatte ich gestern gesagt?

[slackware-security] gaim updated again (SSA:2004-240-01)
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-09-04, 09:17

[slackware-security] kde (SSA:2004-247-01)

New kdelibs and kdebase packages are available for Slackware 9.1, 10.0,
and -current to fix security issues.

es gibt neue kde-libarys sowie ein neues kde-base packet um für die versionen ab 9.1 um diverse kleinere sicherheitsprobleme zu beheben

[slackware-security] kde (SSA:2004-247-01)
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-09-14, 08:55

[slackware-security] samba DoS (SSA:2004-257-01)

New samba packages are available for Slackware 10.0 and -current.
These fix two denial of service vulnerabilities reported by
iDEFENSE. Slackware -current has been upgraded to samba-3.0.7,
while the samba-3.0.5 included with Slackware 10.0 has been
patched to fix these issues. Sites running Samba 3.x should
upgrade to the new package. Versions of Samba before 3.0.x are
not affected by these flaws.

Es gibt neue Pakete für Samba um eine von iDEFENSE gemeldete DoS-Sicherheitslücke zu schließen. Während der -Current-Baum auf die Version 3.0.7 wechselt, steht für die in Slackware 10.0 verwendete 3.0.5 ein Patch bereit. Maschinen auf denen Samba-Versionen der 2er Reihe laufen sind von dem Fehler nicht betroffen und brauchen nicht gepatcht werden.

[slackware-security] samba DoS (SSA:2004-257-01)
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-09-23, 07:56

heute ist großkampftag - alle post in diesem thread:

[slackware-security] CUPS DoS (SSA:2004-266-01)

New CUPS packages are available for Slackware 9.1, 10.0, and -current to
fix a denial of service issue where a malformed packet can crash the
CUPS server.

es gibt ein neues cups-paket für die versionen ab 9.1, dass eine DoS-lücke schließt die durch besondersvorbereitete datenpakete den cups-server crashen kann. alle die cups verwenden sind aufgefordert baldmöglichst zu patchen.

[slackware-security] GTK+ image loading flaws (SSA:2004-266-02)

New GTK+ (version 2) packages are available for Slackware 10.0 and -current to fix issues in the image loader routines that can crash applications.

es gibt neue gtk+ pakete der version 2 für die aktuellen versionen (10 und -current). der patch behebt fehler durch die applikationen beim laden eines bildes crashen könnten.
[url=http://www.slackware.com/security/viewer.php?l=slackware-security&y=2004&m=slackware-security.401801]
[slackware-security] Mozilla (SSA:2004-266-03)[/url]

New Mozilla 1.7.3 packages are available for Slackware 10.0 and -current to fix security issues.

es gibt für die aktuellen versionen (10.0 und -current) ein neues fehlerbereinigtes mozilla-üaket (version 1.7.3).



[slackware-security] xine-lib (SSA:2004-266-04)

New xine-lib packages are available for Slackware 10.0 and -current to
fix security issues.

desweiteren gibt es neue xine-lib pakete für alle aktuellen versionen (10.0 und -current). innerhalb der xine-lib konnte es zu overflows kommen - das wird nun behoben.
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-10-05, 08:03

[slackware-security] getmail (SSA:2004-278-01)

New getmail packages are available for Slackware 9.1, 10.0 and -current to
fix a security issue. If getmail is used as root to deliver to user owned
files or directories, it can be made to overwrite system files.

es gibt neue getmail-pakete für alle versionen ab 9.1 um folgende sicherheitslücke zu schließen: wird eine ungepatchte getmail-version von root genutzt um den lokalen usern des systems mails zukommen zu lassen, kann getmail missbraucht werden um systemfiles im Userhome zu überschreiben

[slackware-security] getmail (SSA:2004-278-01)


[slackware-security] zlib DoS (SSA:2004-278-02)

New zlib packages are available for Slackware 10.0 and -current to
fix a possible denial of service security issue.


desweiteren gibt es neue zlib-pakete - ein fehler in der compression und de-compression -routine ermöglicht es usern, die applikation die zlib benutzt zu craschen (service security issue)

[slackware-security] zlib DoS (SSA:2004-278-02)
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-10-12, 15:19

[slackware-security] rsync (SSA:2004-285-01)

New rsync 2.6.3 packages are available for Slackware 8.1, 9.0, 9.1,
10.0, and -current to a fix security issue when rsync is run as
a non-chrooted server.

es gibt neue packete des rsync-dienstes für alle versionen ab 8.1, mit der einige sicherheitslücken behoben werden die auftreten wenn rsync nicht in einer ge-chrooteten ungebung läuft.

anmerkung: eine gechrootete (ge- change-rootete) umgebung gaukelt dem user vor, er würde auf der ebene der systemroot arbeiten, hält ihn jedoch in einer unterpriveligierten ebene gefangen. gute beispiele findet man häufig bei ftp-servern: diese haben einen echten directory-baum mit den verzeichnisen /etc, /bin, /sbin, ... - der ftp-user muss den server aber schon hacken um das serververzeichnis (beispielsweise /var/ftp) zu verlassen und in die tatsächliche systemroot zu gelangen.

es wird zwar in dem security-advisorie nicht expliziet dazu geraten rsync zu chrooten, grundsätzlich wär das aber sinnvoll. ansonsten wenigstens baldmöglichst die neue packete einspielen.


[slackware-security] rsync (SSA:2004-285-01)
Benutzeravatar
Gast
 
 

Beitragvon Gast » 2004-10-23, 07:47

[slackware-security] gaim (SSA:2004-296-01)

New gaim packages are available for Slackware 9.0, 9.1, 10.0
and -current to fix a buffer overflow in the MSN protocol.
Sites that use GAIM should upgrade to the new version.

hihi - das das msn-protokol fehler hat war wohl allen klar ;) mit diesem patch werden speicherüberläufe verhindert die in gaim-versionen entstehen könnne welche in allen slackware-versionen seit 9.0 verwendet werden.

[slackware-security] gaim (SSA:2004-296-01)
Benutzeravatar
Gast
 
 

VorherigeNächste


Ähnliche Artikel

 

Zurück zu Sonstige Distributionen



Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron