URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 47757
[ Назад ]

Исходное сообщение
"Уязвимости FreeBSD: lukemftpd и openssl"

Отправлено opennews , 08-Янв-09 08:36 
Две уязвимости во всех поддерживаемых релизах FreeBSD:

-  FreeBSD-SA-09:01.lukemftpd (http://security.freebsd.org/advisories/FreeBSD-SA-09:01.luke...) (CVE-2008-4247) - аналогична FreeBSD-SA-08:12.ftpd (http://security.freebsd.org/advisories/FreeBSD-SA-08:12.ftpd...); позволяет злоумышленнику организовать проведение CSRF (Cross Site Request Forgery) атаки, направленной на незаметное совершение авторизированным пользователем определенной FTP операции, будучи прозрачно перенаправленным на защищенный FTP ресурс.

-  FreeBSD-SA-09:02.openssl (http://security.freebsd.org/advisories/FreeBSD-SA-09:02.open...) (CVE-2008-5077) - OpenSSL некорректно проверяет результат вызова функции EVP_VerifyFinal, что позволяет принять сформированную злоумышленником подпись
как корректную. Уязвимости подвержена проверка подписи ключей DSA и ECDSA, используемые совместно с SSL/TLS.

Уязвимости подвержена OpenSSL версии ниже 0.9.8j, функционирующая в роли клиента SSL/TLS при работе с сервером...

URL: http://security.freebsd.org
Новость: http://www.opennet.ru/opennews/art.shtml?num=19670


Содержание

Сообщения в этом обсуждении
"Уязвимости FreeBSD: lukemftpd и openssl"
Отправлено Аноним , 08-Янв-09 08:36 
>OpenSSL

это касается всех никсов?


"Уязвимости FreeBSD: lukemftpd и openssl"
Отправлено local , 08-Янв-09 09:08 
Вот только 7.1-RELEASE собрал, и на тебе :)

"Уязвимости в lukemftpd и OpenSSL"
Отправлено atnt , 08-Янв-09 11:50 
Ну и что... freebsd-update fetch && freebsd-update install запустил, исправления накатились, ядро пересобрал и счастье.

"Уязвимости в lukemftpd и OpenSSL"
Отправлено terminus , 08-Янв-09 12:14 
Зачем пересобирать ядро, если freebsd-update fetch && freebsd-update install  скачивает и ставит в том чмсле и уже пропатченное GENERIC ядро? Или вы потом все равно свое из сырцов делаете? Тогда уже и про csup пишите, а то только путаете обсчественность :)

"Уязвимости в lukemftpd и OpenSSL"
Отправлено local , 08-Янв-09 15:11 
дык через csup обновил и пересобрал нужное, только делать пришлось на шести машинах :) а лень то - вот она.

"Уязвимости в lukemftpd и OpenSSL"
Отправлено atnt , 03-Ноя-15 23:29 
(Знаю, что меня только что разморозили) Вы сами ответили на вопрос, freebsd-update ставит GENERIC ядро, не-GENERIC апдейтить не будет.

"Уязвимости в lukemftpd и OpenSSL"
Отправлено iZEN , 09-Янв-09 00:03 
/usr/ports/UPDATING:
20090107:
  AFFECTS: users of security/libgcrypt
  AUTHOR: rafan@FreeBSD.org

  libgcrypt has been upgraded to 1.4.3 which has a shared library
  version bump. You need to reinstall all ports depending on it.
  Use something like this:

  portupgrade -rf libgcrypt
  portmaster -r libgcrypt

% pkg_info -rR libgcrypt-1.4.3
Information for libgcrypt-1.4.3:

Depends on:
Dependency: libiconv-1.11_1
Dependency: gettext-0.17_1
Dependency: libgpg-error-1.6_1
Required by:
Terminal-0.2.8.3
Thunar-0.9.3
abiword-2.6.3_1
audacity-1.2.4b_4
beep-media-player-0.9.7.1_3,1
bmp-faad2-2.6.1_1
bmp-flac-20040316_5
bmp-musepack-1.2_5
bmp-wma-0.1.1_6
bug-buddy-2.22.0_3
cups-base-1.3.9_2
cups-pstoraster-8.15.4_2
deluge-0.5.9.3_1
easytag-2.1_3
eclipse-devel-3.4.1_1
eel-2.22.2_1
epiphany-2.22.3
evince-2.22.2_3
evolution-data-server-2.22.3_2
file-roller-2.22.4,1
firefox-3.0.5,1
gail-1.22.3
gajim-0.12.1
galculator-1.3.1_2
gconf2-2.22.0_1
gedit-2.22.3_1
gedit-plugins-2.22.2_1
gegl-0.0.20_1
gftp-2.0.19
ghex-2.22.0_1
gimp-2.6.4,2
gimp-app-2.6.4,1
gimp-gutenprint-5.1.7_1
gimp-help-2.4.2
gnash-0.8.4_1
gnome-desktop-2.22.3
gnome-games-2.22.3_3
gnome-icon-theme-2.22.0_1
gnome-keyring-2.22.3_2
gnome-media-2.22.0_1
gnome-mount-0.8_2
gnome-nettool-2.22.0_1,1
gnome-panel-2.22.2_1
gnome-settings-daemon-2.22.2.1_1
gnome-system-monitor-2.22.4
gnome-themes-2.22.2_1
gnome-vfs-2.22.0_2
gnumeric-1.8.3_1
gnutls-2.6.3
goffice-0.4.3_5
goffice-0.6.5
gqview-2.0.4_5
grip-3.2.0_17
gstreamer-plugins-gconf-0.10.10_4,3
gstreamer-plugins-gnomevfs-0.10.21,3
gstreamer-plugins-soup-0.10.10_3,3
gtk-2.12.11_1
gtk-engines2-2.14.3
gtk-murrine-engine-0.52_2
gtk-murrine-themes-0.3_2
gtk-xfce-engine-2.4.3
gtkmm-2.12.7_1
gtksourceview-1.8.5_4
gtksourceview2-2.2.2
gtkspell-2.0.15
gucharmap-2.22.3
gutenprint-5.1.7_1
gutenprint-base-5.1.7_1
gutenprint-cups-5.1.7_3
gutenprint-ijs-5.1.7_1
gvfs-0.2.5
hplip-2.8.2_3
klavaro-1.0.8
libbonoboui-2.22.0_2
libexo-0.3.4_2
libggz-0.0.14.1_5
libglade2-2.6.3
libgnome-2.22.0_1
libgnomecanvas-2.20.1.1_2
libgnomecups-0.2.3_1,1
libgnomedb-3.0.0_3
libgnomekbd-2.22.0_2
libgnomeprint-2.18.4_2
libgnomeprintui-2.18.2_2
libgnomeui-2.22.1_2
libgsf-1.14.8_2
libgsf-gnome-1.14.8_1
libgtkhtml-2.11.1_2
libgweather-2.22.3
libnotify-0.4.4_2
libpurple-2.5.3
librsvg2-2.22.3
libsexy-0.1.11_1
libsoup-2.4.1_1
libwnck-2.22.3
libxfce4gui-4.4.3
libxine-1.1.15_1
libxslt-1.1.24_2
meld-1.1.5.1_2
metacity-2.22.0_2
mousepad-0.2.14
nautilus-2.22.5.1_1
nautilus-cd-burner-2.22.1_2
nimbus-0.0.17
nvidia-settings-180.17
orage-4.4.3
pcmanfm-0.3.6.2_1
pidgin-2.5.3
policykit-gnome-0.9
poppler-gtk-0.8.7
py25-gnome-2.22.1
py25-gnome-desktop-2.22.0_2
py25-gstreamer-0.10.12
py25-gtk-2.12.1_1
py25-notify-0.1.1_4
rezlooks-0.6_3
rssowl-1.2.3_4
ru-openoffice.org-3.0.0
swfdec-0.6.8
swfdec-gnome-2.22.2_1
swt-3.4
thunar-archive-plugin-0.2.4
thunderbird-2.0.0.19
totem-2.22.2_3
totem-pl-parser-2.22.3_2
vlc-0.8.6.i_2,2
vte-0.16.14_1
webkit-gtk2-0.0.30549_1
wine-1.1.12_1,1
wv-1.2.4_2
wxgtk2-2.6.3_5
wxgtk2-common-2.6.3_4
wxgtk2-unicode-2.6.3_5
xfburn-0.3.91_1
xfce-4.4.3
xfce4-appfinder-4.4.3
xfce4-desktop-4.4.3
xfce4-mcs-manager-4.4.3
xfce4-mcs-plugins-4.4.3
xfce4-media-0.9.2_9
xfce4-mixer-4.4.3
xfce4-netload-plugin-0.4.0_5
xfce4-notification-daemon-0.3.7_2
xfce4-panel-4.4.3
xfce4-print-4.4.3
xfce4-screenshooter-plugin-1.4.0
xfce4-session-4.4.3
xfce4-systemload-plugin-0.4.2_5
xfce4-utils-4.4.3
xfce4-weather-plugin-0.6.2_2
xfce4-wm-4.4.3
xscreensaver-5.08
xulrunner-1.8.0.4_12
ggz-client-libs-0.0.14.1_1

Аааааааааааа! Всё ПО нужно пересобирать!!!!

P.S.
Кстати, не сегодня — завтра такое же "повальное обновление" будет у всех пользователей Linux.


"Уязвимости в lukemftpd и OpenSSL"
Отправлено kegf , 09-Янв-09 08:54 
>[оверквотинг удален]
>Dependency: gettext-0.17_1
>Dependency: libgpg-error-1.6_1
>Required by:
>..........
>..........
>Аааааааааааа! Всё ПО нужно пересобирать!!!!
>
>P.S.
>Кстати, не сегодня — завтра такое же "повальное обновление" будет у всех
>пользователей Linux.

Читай лучше, нужно пересобрать только зависимости (depencies)



"Уязвимости в lukemftpd и OpenSSL"
Отправлено www2 , 09-Янв-09 12:40 
Где там у нас iZen постоянно злорадно тыкающий в Debian'щиков громким скандалом OpenSSL в Debian? Много времени потратил на обновление серверов?

"Уязвимости в lukemftpd и OpenSSL"
Отправлено terminus , 09-Янв-09 14:07 
Тогда был Debian спецыфичный баг из-за поломанного /dev/random, а теперь-то баг обший (то есть баг в OpenSSL).

"Уязвимости в lukemftpd и OpenSSL"
Отправлено Аноним , 10-Янв-09 21:35 
>Тогда был Debian спецыфичный баг из-за поломанного /dev/random, а теперь-то баг обший
>(то есть баг в OpenSSL).

Я бы больше сказал. Баг был потому что мэйнтейнер пакета дурак. И гнать таких нужно поганной метлой.



"Уязвимости в мятёлке"
Отправлено Andrey Mitrofanov , 10-Янв-09 21:42 
>Я бы больше сказал. Баг был потому что мэйнтейнер пакета дурак. И
>гнать таких нужно поганной метлой.

Гони своих ментейнеров своей с...ой метёлкой (назови анОнимный дистрибутив, btw?). И сиди "как дура"(тм) без пакетов. Наших 8-P мантейнеров ни трож, испражняйся в сторонке -- приоритет своему дистр-ву.


"Уязвимости в lukemftpd и OpenSSL"
Отправлено iZEN , 09-Янв-09 23:02 
>Где там у нас iZen постоянно злорадно тыкающий в Debian'щиков громким скандалом
>OpenSSL в Debian? Много времени потратил на обновление серверов?

А что, на серверах уже невозможно обойтись без Gtk? :))
На домашней машинке сделал:
% portupgrade -rfp libgcrypt

Всё (кроме ru-openoffice, с этим потом как-нибудь разберусь, да и так работает оно) ф фоне пересобралось из исходников за ~8 часов.
Заодно получил каталог бинарных пакетов для быстрой установки ПО на другие машины.

Ы?