apache2 2.2.22-1ubuntu1.11+ta4
Damit werden Probleme bei den Modulen mod_authnz_ldap und mod_auth_digest gelöst und ein Crash bei bestimmten HTTP headern mit falschen Längenangaben verhindert. CVE-2017-15710 CVE-2018-1301 CVE-2018-1312
cups 1.5.3-0ubuntu8.7+ta2
Ungültige Nutzerkennzeichen (die z.B. äöü enthalten) konnten den CUPS Daemon bei aktivierter DBUS Unterstützung, wie z.B. bei Ubuntu, zum Absturz bringen. CVE-2017-18248
samba 3.6.25-0ubuntu0.12.04.10+ta5
Hierbei wird ein heap buffer overflow im Zusammenhang mit besonders langen Filenamen verhindert. CVE-2018-10858
php5 5.3.10-1ubuntu3.26+ta6
Es handelt sich hierbei um einen Fix für einen “integer overflow” und einen “out of bounds” read im exiv-Teil von php, die beide mit Hilfe eines besonders präparierten Bildes zu einem denial of service führen können. CVE-2018-14851 CVE-2018-14883
postgresql-9.1 9.1.24lts2-0+ta3
Dies verhindert, das unprivilegierte Nutzer von dblink oder postgres_fdw eine Prüfung von Anmeldedaten umgehen können. Außerdem wären unter anderem SQL injections möglich gewesen. CVE-2018-10915
Es gibt eine neue Version für php5 (5.3.10-1ubuntu3.26+ta7). Mit diesem Patch wird ein XSS Fehler bei GET-Anfragen, die ein “Transfer-Encoding: chunked” enthalten, verhindert.
Clamav in der neuen Version 0.99.2+addedllvm-0ubuntu0.12.04.1+ta3 ist verfügbar. Damit werden Fehler bei der Behandlung von PDF-Files und HWP-Files (Hangul Word Processor) behoben. Außerdem wird bei der Verarbeitung von MEW-Archiven ein unberechtigter Zugriff auf die falschen Speicherbereiche verhindert.
cups 1.5.3-0ubuntu8.7+ta4
enthält einen Patch für CVE-2018-4700. Damit wird der Zufallsgenerator für session cookies mit einem nicht vorhersagbaren Wert initialisiert.
linuxmuster-linbo 2.3.40 bringt den kurzen Hostnamen für Ubuntu-Clients zurück. Muss ich mir für die lmn7-Clients halt was anderes ausdenken. Außerdem ist die Rückfrage beim Formatieren über linbo-remote -p gefixt.
es gibt eine neue Version 5.3.10-1ubuntu3.26+ta8 von php5. Mit diesen Patches wird verhindert, dass geeignete Parameter für imap_mail() den Server abstürzen lassen, und dass per imap_open() ein Angreifer beliebige Kommandos auf dem Server ausführen kann:
Aus aktuellem Anlass gibt es ein Update für apt (0.8.16~exp12ubuntu10.28). Durch eine fehlende Überprüfung von URLs können Angreifer beliebigen Code als root ausführen. Siehe CVE-2019-3462.
ich hänge die Frage einfach mal hier an: Wie lange wird es noch diese Sicherheitsupdates nach dem Release der LMNv7 geben? Ich frage, damit wir das Upgrade / Neuinstallation besser planen können. Gibt es da schon Anhaltspunkte?
ich hänge die Frage einfach mal hier an: Wie lange wird es noch diese
Sicherheitsupdates nach dem Release der LMNv7 geben? Ich frage, damit
wir das Upgrade / Neuinstallation besser planen können. Gibt es da schon
Anhaltspunkte?
wenn ich das richtig im Kopf habe, sind die Patches bis Oktober
gesichert (2019).
Wir sind aber schon am Planen einer Verlängerung um ein weiteres Jahr:
aber dann ist ziemlich sicher Schluss.
php5 5.3.10-1ubuntu3.26+ta9
Im wesentlichen wird jetzt verhindert, dass auf ungültigen Speicher zugegriffen werden kann und es zu Abstürzen kommt. Siehe: CVE-2019-9020 CVE-2019-9021 CVE-2019-9023 CVE-2019-9024
libgd2 2.0.36~rc1~dfsg-6ubuntu2.4+ta3
Damit wird ein doppelter free() für einen Pointer verhindert, der zu einem Absturz des verwendenden Programmes führen kann. Siehe CVE-2019-6978.
Wer hat den denn unter Kontrolle? @ironiemix?
Einfach nur zu warten ist keine Option, meiner Meinung nach. Wer muss informiert werden, oder ist das schon geschehen?
Frank hat ein ausgefeiltes Monitoring. Der hatte bestimmt schon bemerkt, dass der nicht läuft. Außerdem: läuft. Die Updates können jetzt geholt werden.
Dadurch werden bei dynamischen Zonen jetzt die ACLs auch wirklich beachtet und der named beendet sich nicht mehr falls Domains mit Keys signiert werden, die unterschiedliche Algorithmen zur Verschlüsselung verwenden (letzteres Problem wird in der Praxis wohl eher nicht auftreten bzw. dann hat man ganz andere Probleme).