dziury z 26 VIII 2002

Blues blues w ds6.pg.gda.pl
Śro, 28 Sie 2002, 14:16:14 CEST 

Tym razem prosiłbym o _naprawdę_ uważne przyjrzenie się temu wszystkiemu i 
potraktowanie tego jako priorytetowe....


On Mon, 19 Aug 2002, Blues wrote:
Ciągle dziurawe (i jakoś nie ma chętnych, żeby wyłuskać z DEbiliana 
poprawkę...):
> > Dziurawe, debian wypuścił pofixowaną wersję:
> > 39. Mpack
> > 
> >     Vendor: Carnegie Mellon University
> > 
> >     Two vulnerabilities were reported in the 'mpack' (aka
> >     'munpack') file decoding utility.  A remote user may be able to
> >     cause an e-mail program that uses mpack/munpack to decode
> >     MIME-based binary files to crash or to execute arbitrary code.  A
> >     remote user may also be able to create certain files on the system.
> > 
> >     Impact: Denial of service via network
> > 
> >     Alert: http://securitytracker.com/alerts/2002/Aug/1004929.html

Jest nowa wersja - do upgrade:
> Mamy to w repo, choć nie używane - przydałoby się przyjrzeć temu, patch 
> jest dostępny na stronie
> 26. Mantis
> 
>     Vendor: mantis.sourceforge.net
> 
>     A vulnerability was reported in the Mantis web-based bug
>     tracking system.  A remote user can execute arbitrary commands on
>     the server.
> 
>     Impact: Execution of arbitrary code via network
> 
>     Alert: http://securitytracker.com/alerts/2002/Aug/1005029.html

Informacyjnie tylko:
Poprawka w toku - będzie tylko dla KDE3 w związku z tym, że zaczynają się 
w /test pojawiać rzeczy z KDE3. KDE3-Pack jest w dobrej wersji :)

> 24. KDE Konqueror
> 
>     Vendor: KDE.org
> 
>     A vulnerability was reported in KDE Konqueror's secure sockets
>     layer (SSL) protocol implementation. A remote user with access to a
>     target user's encrypted data stream could conduct a
>     man-in-the-middle attack to obtain the unencrypted data.
> 
>     Impact: Disclosure of user information
> 
>     Alert: http://securitytracker.com/alerts/2002/Aug/1005031.html


NOWOŚCI:
--------
mc - jest wersja 4.6cośtam. Zdalne wykonanie programu przy VFS. Problem 
     jest w tym, że wg anonsu wyleciało z paczki wsparcie dla gnome (gmc), 
     więc sprawa jest średnio ciekawa...



mozilla - było trochę dziur, a pojawiła się 1.1 - IMHO do upgrade.


gaim - w debianie połatane ukazało się


irssi - jest DoS na to, ale chyba mamy odpowiednio nową wersję...


kernel - RH wypuscilo 2.4.18 z polatanymi potencjalnymi dziurami security. 
	Temu należy chyba się koniecznie przyjrzeć. Ja nie bardzo wiem o 
	co chodzi.


python (sprzed momentu) - debian wypuścił połatane wersje - niebezpieczne 
	używanie tmp.

Tego nie mamy w zasobach (ale mogę się mylić...):
10. Light
    Vendor: Connell, J. S.
    A vulnerability was reported in the Light Internet Relay Chat
    (IRC) script for EPIC4.  A remote user can execute nearly-arbitrary
    code on the system.

    Impact: Execution of arbitrary code via network

    Alert: http://securitytracker.com/alerts/2002/Aug/1005114.html


Fix jest w cvs-ie php-a... Pewnie w miarę szybko pojawi się nowsza wersja, 
ale do tego czasu wartoby to jednak załatać... RH wypuścił połatane 4.1.2
19. Php

    Vendor: PHP Group
    An input validation vulnerability was reported in PHP in the
    mail() function.  A remote user can bypass safe_mode and cause
    arbitrary scripts to be executed.  A remote user may be able to
    send mail via an open relay.

    Impact: Host/resource access via network

    Alert: http://securitytracker.com/alerts/2002/Aug/1005098.html



To nam już nie grozi:
23. Ethereal

    Vendor: Ethereal.com
    A buffer overflow vulnerability was reported in the Ethereal
    network sniffer in the ISIS protocol dissector.  A remote user may
    be able to cause the sniffer to crash or possibly execute arbitrary
    code.

    Impact: Denial of service via network

    Alert: http://securitytracker.com/alerts/2002/Aug/1005092.html



Prawdę mówiąc nie mam pojęcia czy naszej wersji to dotyczy. Check please.
24. Perl-Digest-MD5

    Vendor: Novell
    Several vulnerabilities were reported in Novell's Perl Handler
    for web servers running on NetWare systems.  A remote user can
    execute arbitrary code on the system, view the Perl version
    information, and view files on the system.

    Impact: Disclosure of system information

    Alert: http://securitytracker.com/alerts/2002/Aug/1005091.html


To też raczej jest bezpieczne:
28. PostgreSQL

    Vendor: postgresql.org

    A buffer overflow vulnerability was reported in the PostgreSQL
    database.  A local user may be able to cause arbitrary code to be
    executed with the privileges of the database user account.

    Impact: Execution of arbitrary code via local system

    Alert: http://securitytracker.com/alerts/2002/Aug/1005084.html


-- 
---------------------------------
pozdr.  Paweł Gołaszewski        
---------------------------------
CPU not found - software emulation...

Więcej informacji o liście dyskusyjnej pld-devel-pl