Hallo Helge, hallo Tobias
Hab’s geändert.
Gruß Alois
Moinsen!
es gibt wieder Aktualisierungen für babo62:
-
bind9 9.8.1.dfsg.P1-4ubuntu0.22+ta8
CVE-2018-5743
Bei mehreren gleichzeitigen Verbindungen über TCP wurden konfigurierte Limits nicht richtig geprüft. Im ungünstigsten Fall hätten alle verfügbaren File Descriptoren aufgebraucht werden können. -
clamav 0.99.2+addedllvm-0ubuntu0.12.04.1+ta4
CVE-2019-1787
Bei der Verarbeitung von präparierten PDF-Dateien konnte es zu Abstürzen vom clamav kommen.
Sonnige Grüße aus der Provence
Thomas
Hallo zusammen!
Es gibt weitere Aktualisierungen für babo62:
- clamav 0.99.2+addedllvm-0ubuntu0.12.04.1+ta5
Fixes für Fehler beim Auspacken von bzip2 und OLE2-Files.
CVE-2019-12900
CVE-2019-1788 - cups 1.5.3-0ubuntu8.7+ta6
Im wesentlichen werden damit stack overflows beim parsen von ASN.1-Objekten verhindert.
CVE-2019-8675
CVE-2019-8696 - php5 5.3.10-1ubuntu3.26+ta14
Bei den CVEs handelt es sich wieder um heap buffer-overflow-Probleme im exif-Modul.
Der use after free fix verbessert den Umgang mit PHP-Archiven.
CVE-2019-11041
CVE-2019-11042
use after free fix
VG, Thomas
Moin moin,
es gibt eine neue Version 5.3.10-1ubuntu3.26+ta15 von php5.
Damit gibt es Patches für:
CVE-2019-11043
Bei bestimmten Konfigurationen des FPM (FastCGI Process Manager) kann es zum Ausführen von externem Code kommen.
Viele Grüße
Thomas
Hallo!
eine neue Version 3.6.25-0ubuntu0.12.04.10+ta8 von samba ist verfügbar.
Sie bringt einen Patch für CVE-2019-10218.
Wenn sich ein Client mit einem bösartigen Server verbindet, können Dateien ausserhalb des verwendeten Shares angelegt werden. Allerdings nur mit den Privilegien des Client-Nutzers.
VG, Thomas
Hallo Thomas,
könnte es sein, dass wir seit diesem Update folgendes Problem beim Aufruf unserer eigenen Nextcloud haben:
Sie können <„unsereCloud“>.gn.es.schule-bw.de derzeit nicht aufrufen, da die Website HSTS verwendet. Netzwerkfehler und Angriffe sind in der Regel nur vorübergehend, sodass die Seite wahrscheinlich später wieder funktioniert.
Viele Grüße
Jürgen
Hi.
Diese HSTS-Meldungen habe ich auch des öfteren – bei mir tritt das auf, wenn ich verschiedene Tabs offen habe und auf die gleiche domain in unterschiedlichen Kontexten zugreife. Das ist immer nervig – daher habe ich für den Zugriff auf die anderen Services nun einen anderen dynDNS-Namen eingerichtet, so dass die sich nicht mehr ins Gehege kommen.
Du kannst die Meldung loswerden, indem du firefox beendest und (zumindest unter Linux) deine domain in der Datei .mozilla/firefox/<kryptischer_buchstabensalat>.default/SiteSecurityServiceState.txt suchst und diese Zeile dort löschst. Danach startet der Firefox wieder ohne die Meldung und ruft die Domain wieder ohne zu meckern auf.
Wenn man’s wieder verbockt, wird die Domain erneut dort eingetragen und muss es von vorne machen …
Ich vermute übrigens, dass das kein Update sondern eine Einstellung deines Apache2 ist. Wenn du alle Sicherheitskriterien von NC erfüllen willst, fordern die imho irgendwo HSTS, oder?
hth!
Schöne Grüße,
Michael
Moin!
Eine neue Version 5.3.10-1ubuntu3.26+ta16 von php5 behebt Probleme mit UTF-8 Zeichen, einen buffer overflow und ein use-after-free im exif Modul.
CVE-2019-11046
CVE-2019-11047
CVE-2019-11050
Viele Grüße
Thomas
Moin moin!
es gibt wieder eine neue Version von clamav
(0.99.2+addedllvm-0ubuntu0.12.04.1+ta6).
Speziell formatierte EMails konnten den Clamav in eine Endlos-Schleife
zwingen. Wenn HeuristicScanPrecedence auf TRUE gesetzt wird (der default
ist FALSE), wird die Endlos-Schleife nach einer Weile unterbrochen.
Siehe CVE-2019-15961
https://security-tracker.debian.org/tracker/CVE-2019-15961
Viele Grüße
Thomas Schmitt
Hi!
php5 bringt mit der Version 5.3.10-1ubuntu3.26+ta17 einen Patch für CVE-2020-7059. Bei extra angefertigten Datenfiles war es möglich über einen Speicherbereich hinaus auf Daten zuzugreifen, die eigentlich in einem anderen Kontext verwendet werden sollten.
VG, Thomas
Moinsen!
Zwei Aktualisierungen für 6.2 liegen vor:
-
libgd2 2.0.36~rc1~dfsg-6ubuntu2.4+ta5
Beim Lesen von GD- oder GD2-Dateien darf die Transparenz einer Farbe nur gesetzt werden, wenn sie auch zur entsprechenden Palette gehört.
CVE-2017-6363 -
php5 5.3.10-1ubuntu3.26+ta18
Falls man mit PHP ein tar-File bearbeitet hat, konnten sich beim Auspacken eines tar-Files die Zugriffsrechte ungünstig verändert haben. Konnte beispielsweise beim Einpacken nur der Owner auf ein File zugreifen, hatte nach dem Auspacken jeder Zugriffsrechte.
CVE-2020-7063
VG, Thomas
Hi!
Es gibt wieder Aktualisierungen für lmn 6.2:
-
php5 5.3.10-1ubuntu3.26+ta19
Mit den Patches werden Probleme mit falschen Indizes beseitigt.
CVE-2020-7064
CVE-2020-7066
CVE-2020-7067
CVE-2019-18218 -
cups 1.5.3-0ubuntu8.7+ta7
Beim Einlesen von PPD-Files (PostScript Printer Description) wurden ungültige Werte falsch interpretiert und hätten zu Speicherüberscheibungen führen können.
CVE-2020-3898
VG, Thomas
Moin moin!
Zwei Aktualisierungen für lmn 6.2 sind verfügbar:
-
php5 5.3.10-1ubuntu3.26+ta20
Beim Upload von Dateien mit langen Filenamen konnte es zu Fehlern kommen, nach denen nicht richtig aufgeräumt wurde. Als Resultat gab es immer mehr Dateileichen, welche die Platte des Servers zumüllen konnten.
CVE-2019-11048 -
bind9 9.8.1.dfsg.P1-4ubuntu0.22+ta9
Beim ersten CVE konnte ein rekursiver Server (ein Server, der Anfragen, die nicht zu seinen Zonen gehören, an andere Server weiterleitet) mit bestimmten Anfragen dazu gebracht werden, andere Server sehr oft zu kontaktieren. Dadurch wurden nicht nur Resourcen auf dem eigenen Server sinnlos verbraucht, auch die anderen Server konnten in die Knie gezwungen werden.
Beim zweiten CVE konnte der Server bei bestimmten Anfragen in einen undefinierten Zustand gebracht werden, was zu einem denial of service führen kann.
CVE-2020-8616
CVE-2020-8617
VG, Thomas
Hi!
Es gibt zwei neue Pakete für lmn 6.2:
-
clamav 0.99.2+addedllvm-0ubuntu0.12.04.1+ta7
Durch Manipulation des Stacks mit extra hergestellten PDF oder ARJ Files konnte der ClamAV Scanner zum Absturz gebracht und ein denial of service verursacht werden.
CVE-2020-3327
CVE-2020-3341 -
apache2 2.2.22-1ubuntu1.11+ta6
In mod_proxy_ftp wurde nicht initialisierter Speicher verwendet und damit konnten ungewollt Informationen nach außen gelangen.
CVE-2020-1934
VG, Thomas
Guten Abend allerseits!
Es gibt ein neues Samba-Paket für lmn 6.2:
- samba 3.6.25-0ubuntu0.12.04.10+ta9
CVE-2020-14303
CVE-2020-10745
Zum einen wird verhindert, dass der Samba Domain Controler beim Empfang eines leeren UDP Paketes die gesamte CPU auslastet.
Zum zweiten wird ebenfalls eine hohe CPU-Auslastung verhindert, wenn ein Client bei seinen Anfragen Domainnamen mit zwei aufeinanderfolgenden Punkten (also z.B. example…com) schickt.
Von weiteren Samba CVEs war diese Version nicht betroffen.
VG, Thomas
1 „Gefällt mir“
Hi!
es gibt ein neues Paket für bind9 (9.8.1.dfsg.P1-4ubuntu0.22+ta10).
Bei manuell erstellten Antworten auf signierte TSIG Anfragen kann der named zum Absturz gebracht werden. Die Antworten können einerseits durch einen bösartigen Server, andererseits durch einen gut ratenden Angreifer erzeugt werden.
VG, Thomas
Hallo Thomas,
wenn ich das Update versuche kommt diese Rückmeldung:
"W: Fehlschlag beim Holen von https://archive.linuxmuster.net/babo62/Packages Hash-Summe stimmt nicht überein
E: Einige Indexdateien konnten nicht heruntergeladen werden. Sie wurden ignoriert oder alte an ihrer Stelle benutzt.
Gruß
Alois
Hallo Alois,
keine Ahnung warum das nicht mehr funktioniert. Das Repo funktioniert mit mini-dinstall. Da muss sich das Infrastruktur-Team drum kümmern. Ich kenne mich damit leider nicht aus.
Ersatzweise kann ich anbieten, dass man das Repo unter archive.lmndev.de benutzt:
- Repo-Key installieren:
wget https://archive.lmndev.de/repo.key -O - | apt-key add - - Sources-List-Eintrag:
deb https://archive.lmndev.de/babo62/ ./
VG, Thomas