mboost-dp1
unknown
Fejlen er igen en klassisk "Buffer Overflow" ved håndtering af den stream der bruges til at indlæse den originale fil med, primært fordi C koden (inftrees.c) ikke tester visse preconditions.
Fejlen er altså både uhyggelig nem at udnytte og der er masser af potentielle point-of-entry angrebspunkter, så der kan ikke gå lang tid før et virus-kit bliver omskrevet til at udnytte denne sårbarhed!
Fejlen er altså både uhyggelig nem at udnytte og der er masser af potentielle point-of-entry angrebspunkter, så der kan ikke gå lang tid før et virus-kit bliver omskrevet til at udnytte denne sårbarhed!
Ubuntu har også sørget for rettelser. Dog er det ikke så fedt, at pakkerne bare bliver opgraderet, uden at de minder om, at man faktisk skal genstarte computeren eller alle services der bruger zlib (åbenbart mange) for at rettelsen træder igennem.
Men hvis man har en kritisk server stående, bør man nok alligevel holde sig opdateret på diverse security-sider, så man burde vel vide det.
Men hvis man har en kritisk server stående, bør man nok alligevel holde sig opdateret på diverse security-sider, så man burde vel vide det.
'Security Advisory' til FreeBSD
Nu er det selvfølgelig ikke så sandsynligt at nogle server admins ikke allerede har fundet ovenstående og er begyndt at patche deres server, men hvis de ikke er... såååå... er der her et lille link.
Nu er det selvfølgelig ikke så sandsynligt at nogle server admins ikke allerede har fundet ovenstående og er begyndt at patche deres server, men hvis de ikke er... såååå... er der her et lille link.
Mindre fejl i resuméet. Zlib er ikke et program, det er et library. (Deraf navnet).
Sålænge det bliver linket dynamisk er det forholdsvist simpelt at opgradere. Programmer som har linket zlib statisk er et større problem.
Er der nogen som har nogle tekniske detaljer? Jeg tror efterhånden jeg har været alle linkene igennem uden at finde noget.
Sålænge det bliver linket dynamisk er det forholdsvist simpelt at opgradere. Programmer som har linket zlib statisk er et større problem.
Er der nogen som har nogle tekniske detaljer? Jeg tror efterhånden jeg har været alle linkene igennem uden at finde noget.
#9
Mange tak :)
jeg tilføjede det her:
deb http://ftp2.de.debian.org/debian-volatile sarge/volatile main non-free contr
ib
deb-src http://ftp2.de.debian.org/debian-volatile sarge/volatile main non-free c
ontrib
Skiftede til en tysk server da min server står i tyskland.
Den fandt dog hverken ny zlib eller clamav, må være kommet med via alm. updates så.
Hvordan ser jeg egentligt zlib versionen ?
Mange tak :)
jeg tilføjede det her:
deb http://ftp2.de.debian.org/debian-volatile sarge/volatile main non-free contr
ib
deb-src http://ftp2.de.debian.org/debian-volatile sarge/volatile main non-free c
ontrib
Skiftede til en tysk server da min server står i tyskland.
Den fandt dog hverken ny zlib eller clamav, må være kommet med via alm. updates så.
Hvordan ser jeg egentligt zlib versionen ?
Lad os finde et stoppeur tage tid på hvor lang tid, det tager de forskellige distributioner at få en rettelese ud til deres brugere.
Sidst var Microsoft mere end 3 uger efter linux, bsd og mac med deres patch. Man nåede vidst at finde en måde at udnytte fejlen før der var et IE 6.0 patch, men dengang had det også at fejlen var noget lettere at udnytte.
Sidst var Microsoft mere end 3 uger efter linux, bsd og mac med deres patch. Man nåede vidst at finde en måde at udnytte fejlen før der var et IE 6.0 patch, men dengang had det også at fejlen var noget lettere at udnytte.
#15 -- Jah, det er ``old newz''. Citat fra Michael Stone d. 6/7:
Package : zlibMandriva var ude d. 7/7, SuSE d. 6/7, og Gentoo d. 6/7. Følger folk ikke med på Full Disclosure?
Vulnerability : buffer overflow
Problem type : remote DOS
Debian-specific: no
CVE Id(s) : CAN-2005-2096
An error in the way zlib handles the inflation of certain compressed
files can cause a program which uses zlib to crash when opening an
invalid file.
This problem does not affect the old stable distribution (woody).
For the stable distribution (sarge), this problem has been fixed in
version 1.2.2-4.sarge.1.
For the unstable distribution, this problem has been fixed in version
1.2.2-7.
Godt man bruger fri software... :)
Det vrimler med folk, som ikke kun reportere fejl, men vedhæfter foreslag på rettelser... :) Det giver en utroligt rar sikkerhedsfornemmelse, at man ikke behøver tage producentens ord for at fejlen er rettet. Men at alle og enhver kan checke og bekræfte det.
Og ja Gentoo er fandme neat. Prøvede nogle forskellige dists, men har ikke kunne slippe Gentoo... hehe
Det vrimler med folk, som ikke kun reportere fejl, men vedhæfter foreslag på rettelser... :) Det giver en utroligt rar sikkerhedsfornemmelse, at man ikke behøver tage producentens ord for at fejlen er rettet. Men at alle og enhver kan checke og bekræfte det.
Og ja Gentoo er fandme neat. Prøvede nogle forskellige dists, men har ikke kunne slippe Gentoo... hehe
Miwer:
Yeps bare roligt, det gør jeg tæt på dagligt :)
Jeg ville bare være sikker på jeg havde fået zlib og clamav med i de rettede versioner :)
Yeps bare roligt, det gør jeg tæt på dagligt :)
Jeg ville bare være sikker på jeg havde fået zlib og clamav med i de rettede versioner :)
#19 SKREWZ
I hovedreglen ja.
Der findes dog binærepakker på cd, hvis man vil have en hurtigere installation. Ikke noget jeg selv har prøvet dog. Ting a'la Mozilla, Firefox og Openoffrice kan dog fås prækompileret. I sidstnævnte tilfælde er det praktisktalt uundværeligt, medmindre ens maskine har "overlagt knastaksel" og "blankpolerede indskylingskanaler". Som i sindsygt brutal hurtig. Tager adskillige timer på en 3200+ AthlonXP med 512mb ram og relativ hurtig disk. (Min spand.) På en 1600+ med 256MB ram, tog det af det jeg husker 1½ døgn at kompilere den... ;)
Angånde Gentoo: Skal alt stadig kompileres ved installation?
I hovedreglen ja.
Der findes dog binærepakker på cd, hvis man vil have en hurtigere installation. Ikke noget jeg selv har prøvet dog. Ting a'la Mozilla, Firefox og Openoffrice kan dog fås prækompileret. I sidstnævnte tilfælde er det praktisktalt uundværeligt, medmindre ens maskine har "overlagt knastaksel" og "blankpolerede indskylingskanaler". Som i sindsygt brutal hurtig. Tager adskillige timer på en 3200+ AthlonXP med 512mb ram og relativ hurtig disk. (Min spand.) På en 1600+ med 256MB ram, tog det af det jeg husker 1½ døgn at kompilere den... ;)
#21 -- O.k. Jeg antager, at det gør specielt dist-upgrade-agtige opgraderinger meget tidskrævende? Anyway, I får ikke en Gentoo-mand ud af mig. :)
Btw, nu vi er i gang med offtopicness'en: Kunne du ikke overveje at få vane for, at udskifte din syntaks (s/slash/\//g)
Btw, nu vi er i gang med offtopicness'en: Kunne du ikke overveje at få vane for, at udskifte din syntaks (s/slash/\//g)
#19 SKREWZMed det mere pladsbesparende
[quote]
Angånde Gentoo: Skal alt stadig kompileres ved installation?[slashquote]
I hovedreglen ja.[...]
#19 SKREWZ[quote]Angånde Gentoo: Skal alt stadig kompileres ved installation?[slashquote]I hovedreglen ja.[...]-- Medmindre, selvfølgelig, at du selv kan lide dette orgie af whitespace?
#22 SKREWZ
Gentoo har ikke rigtige dists som Debian med flere har. Dine pakker bliver regelmæssigt opgraderet, og når de laver en ny profil a'la fra 2004.3 til 2005, handler det kun om en system variabel og opsætningsfiler som opdateres. Ligesom med andre systemer gælder det selvfølgelig, at jo mere regelmæssigt du opdatere systemet jo mindre tidskrævende er det jo. Dog ved større opdatering af kompiler og glibc, kan det godt blive lidt smertefuldt et indgreb. Hvis man da ikke der vælger, at forny sin derved meget gamle installation. Men det er ikke nødvendigt med reinstallation.
Jeg hverver skam ikke folk, men besvarer høfligt folks spørgsmål... ;) Nogle har så selv henvendt sig til mig, for at blive hjulpet over. Hvilket jeg selvfølgelig er behjælpelig med.
Med hensyn til dit spørgsmål om min indeling. Det er min egen erfaring, at det hjælper overskueligheden. Det er ikke fordi jeg har whitespace fetish, men i 1600x1200 kan det gøre det mere uoverskueligt hvis folk bare pladre tingene sammen. Men det er selvfølgelig en afvejning.
O.k. Jeg antager, at det gør specielt dist-upgrade-agtige opgraderinger meget tidskrævende?
Gentoo har ikke rigtige dists som Debian med flere har. Dine pakker bliver regelmæssigt opgraderet, og når de laver en ny profil a'la fra 2004.3 til 2005, handler det kun om en system variabel og opsætningsfiler som opdateres. Ligesom med andre systemer gælder det selvfølgelig, at jo mere regelmæssigt du opdatere systemet jo mindre tidskrævende er det jo. Dog ved større opdatering af kompiler og glibc, kan det godt blive lidt smertefuldt et indgreb. Hvis man da ikke der vælger, at forny sin derved meget gamle installation. Men det er ikke nødvendigt med reinstallation.
Anyway, I får ikke en Gentoo-mand ud af mig. :)
Jeg hverver skam ikke folk, men besvarer høfligt folks spørgsmål... ;) Nogle har så selv henvendt sig til mig, for at blive hjulpet over. Hvilket jeg selvfølgelig er behjælpelig med.
Med hensyn til dit spørgsmål om min indeling. Det er min egen erfaring, at det hjælper overskueligheden. Det er ikke fordi jeg har whitespace fetish, men i 1600x1200 kan det gøre det mere uoverskueligt hvis folk bare pladre tingene sammen. Men det er selvfølgelig en afvejning.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund