Moin!
Es gibt eine neue Version für php5 (5.3.10-1ubuntu3.26+ta7). Mit diesem Patch wird ein XSS Fehler bei GET-Anfragen, die ein “Transfer-Encoding: chunked” enthalten, verhindert.
Siehe CVE-2018-17082.
Viele Grüße
Thomas
Moin!
Es gibt eine neue Version für php5 (5.3.10-1ubuntu3.26+ta7). Mit diesem Patch wird ein XSS Fehler bei GET-Anfragen, die ein “Transfer-Encoding: chunked” enthalten, verhindert.
Siehe CVE-2018-17082.
Viele Grüße
Thomas
Guten Abend allerseits!
Clamav in der neuen Version 0.99.2+addedllvm-0ubuntu0.12.04.1+ta3 ist verfügbar. Damit werden Fehler bei der Behandlung von PDF-Files und HWP-Files (Hangul Word Processor) behoben. Außerdem wird bei der Verarbeitung von MEW-Archiven ein unberechtigter Zugriff auf die falschen Speicherbereiche verhindert.
Die Version beinhaltet Patches für:
VG, Thomas
Hallo zusammen!
Es gibt neue Pakete:
cups 1.5.3-0ubuntu8.7+ta4
enthält einen Patch für CVE-2018-4700. Damit wird der Zufallsgenerator für session cookies mit einem nicht vorhersagbaren Wert initialisiert.
Diese Linbo-Version steht auch für linuxmuster.net 7 zur Verfügung!
Viele Grüße
Thomas
22 Beiträge wurden in ein neues Thema verschoben: LINBO ab 2.3.39 - neuer Kernel verursacht manchmal boot-probleme
Moinsen!
linuxmuster-linbo 2.3.40 bringt den kurzen Hostnamen für Ubuntu-Clients zurück. Muss ich mir für die lmn7-Clients halt was anderes ausdenken. Außerdem ist die Rückfrage beim Formatieren über linbo-remote -p gefixt.
VG, Thomas
Hallo!
es gibt eine neue Version 5.3.10-1ubuntu3.26+ta8 von php5. Mit diesen Patches wird verhindert, dass geeignete Parameter für imap_mail() den Server abstürzen lassen, und dass per imap_open() ein Angreifer beliebige Kommandos auf dem Server ausführen kann:
Viele Grüße und ein frohes neues Jahr
Thomas
Moin moin!
Aus aktuellem Anlass gibt es ein Update für apt (0.8.16~exp12ubuntu10.28). Durch eine fehlende Überprüfung von URLs können Angreifer beliebigen Code als root ausführen. Siehe CVE-2019-3462.
Thomas
Hallo zusammen,
ich hänge die Frage einfach mal hier an: Wie lange wird es noch diese Sicherheitsupdates nach dem Release der LMNv7 geben? Ich frage, damit wir das Upgrade / Neuinstallation besser planen können. Gibt es da schon Anhaltspunkte?
vG Stephan
Hallo Stefan,
ich hänge die Frage einfach mal hier an: Wie lange wird es noch diese
Sicherheitsupdates nach dem Release der LMNv7 geben? Ich frage, damit
wir das Upgrade / Neuinstallation besser planen können. Gibt es da schon
Anhaltspunkte?
wenn ich das richtig im Kopf habe, sind die Patches bis Oktober
gesichert (2019).
Wir sind aber schon am Planen einer Verlängerung um ein weiteres Jahr:
aber dann ist ziemlich sicher Schluss.
LG
Holger
Hallo Stefan,
… vergessen: ich denke wir werden das bei der Arbeitstagung
durchdiskutieren.
LG
Holger
Guten Abend allerseits!
Es gibt neue Pakete für cups. Version 1.5.3-0ubuntu8.7+ta5 fixt das Problem mit den nicht ausgewerteten include-Dateien.
Zur Info: Auf dem lmn-Server gibt es standardmäßig keine Mitglieder in den Gruppen lp und lpadmin.
Viele Grüße
Thomas
Moinsen!
Es gibt neue Pakete für Babo62:
php5 5.3.10-1ubuntu3.26+ta9
Im wesentlichen wird jetzt verhindert, dass auf ungültigen Speicher zugegriffen werden kann und es zu Abstürzen kommt. Siehe:
CVE-2019-9020
CVE-2019-9021
CVE-2019-9023
CVE-2019-9024
libgd2 2.0.36~rc1~dfsg-6ubuntu2.4+ta3
Damit wird ein doppelter free() für einen Pointer verhindert, der zu einem Absturz des verwendenden Programmes führen kann. Siehe CVE-2019-6978.
Viele Grüße
Thomas
Moin Thomas!
Wer hat den denn unter Kontrolle? @ironiemix?
Einfach nur zu warten ist keine Option, meiner Meinung nach. Wer muss informiert werden, oder ist das schon geschehen?
Lieben Gruß
Thorsten
Hallo Thorsten,
Frank hat ein ausgefeiltes Monitoring. Der hatte bestimmt schon bemerkt, dass der nicht läuft. Außerdem: läuft. Die Updates können jetzt geholt werden.
VG, Thomas
Hi!
es gibt jetzt eine neue Version 9.8.1.dfsg.P1-4ubuntu0.22+ta6 von bind9.
Damit gibt es einen Patch für CVE-2018-5740.
Dadurch wird ein DoS verhindert, falls in der config die Option “deny-answer-aliases” verwendet wird.
Viele Grüße
Thomas
Hoppla!
Und gleich nochmal ein bind9 Update: Version 9.8.1.dfsg.P1-4ubuntu0.22+ta7 ist verfügbar.
Damit gibt es einen Patch für:
CVE-2019-6465
CVE-2018-5745
Dadurch werden bei dynamischen Zonen jetzt die ACLs auch wirklich beachtet und der named beendet sich nicht mehr falls Domains mit Keys signiert werden, die unterschiedliche Algorithmen zur Verschlüsselung verwenden (letzteres Problem wird in der Praxis wohl eher nicht auftreten bzw. dann hat man ganz andere Probleme).
Viele Grüße
Thomas
Moin!
linuxmuster-linbo 2.3.43 bringt zwei Fixes:
VG, Thomas
Hallo,
sei diesem Update erhalte ich folgende Fehlermeldung:
21:40/255 server ~/usr/sbin/linbo-ssh
gymlz-01 /sbin/reboot
/etc/linuxmuster/linbo/ssh_config: line 50: Bad configuration
option: PubkeyAcceptedKeyTypes
Was kann ich tun?
Viele Grüße
Jürgen