Hi.
Diese HSTS-Meldungen habe ich auch des öfteren – bei mir tritt das auf, wenn ich verschiedene Tabs offen habe und auf die gleiche domain in unterschiedlichen Kontexten zugreife. Das ist immer nervig – daher habe ich für den Zugriff auf die anderen Services nun einen anderen dynDNS-Namen eingerichtet, so dass die sich nicht mehr ins Gehege kommen.
Du kannst die Meldung loswerden, indem du firefox beendest und (zumindest unter Linux) deine domain in der Datei .mozilla/firefox/<kryptischer_buchstabensalat>.default/SiteSecurityServiceState.txt suchst und diese Zeile dort löschst. Danach startet der Firefox wieder ohne die Meldung und ruft die Domain wieder ohne zu meckern auf.
Wenn man’s wieder verbockt, wird die Domain erneut dort eingetragen und muss es von vorne machen …
Ich vermute übrigens, dass das kein Update sondern eine Einstellung deines Apache2 ist. Wenn du alle Sicherheitskriterien von NC erfüllen willst, fordern die imho irgendwo HSTS, oder?
Eine neue Version 5.3.10-1ubuntu3.26+ta16 von php5 behebt Probleme mit UTF-8 Zeichen, einen buffer overflow und ein use-after-free im exif Modul. CVE-2019-11046 CVE-2019-11047 CVE-2019-11050
es gibt wieder eine neue Version von clamav
(0.99.2+addedllvm-0ubuntu0.12.04.1+ta6).
Speziell formatierte EMails konnten den Clamav in eine Endlos-Schleife
zwingen. Wenn HeuristicScanPrecedence auf TRUE gesetzt wird (der default
ist FALSE), wird die Endlos-Schleife nach einer Weile unterbrochen.
Siehe CVE-2019-15961 https://security-tracker.debian.org/tracker/CVE-2019-15961
php5 bringt mit der Version 5.3.10-1ubuntu3.26+ta17 einen Patch für CVE-2020-7059. Bei extra angefertigten Datenfiles war es möglich über einen Speicherbereich hinaus auf Daten zuzugreifen, die eigentlich in einem anderen Kontext verwendet werden sollten.
libgd2 2.0.36~rc1~dfsg-6ubuntu2.4+ta5
Beim Lesen von GD- oder GD2-Dateien darf die Transparenz einer Farbe nur gesetzt werden, wenn sie auch zur entsprechenden Palette gehört. CVE-2017-6363
php5 5.3.10-1ubuntu3.26+ta18
Falls man mit PHP ein tar-File bearbeitet hat, konnten sich beim Auspacken eines tar-Files die Zugriffsrechte ungünstig verändert haben. Konnte beispielsweise beim Einpacken nur der Owner auf ein File zugreifen, hatte nach dem Auspacken jeder Zugriffsrechte. CVE-2020-7063
cups 1.5.3-0ubuntu8.7+ta7
Beim Einlesen von PPD-Files (PostScript Printer Description) wurden ungültige Werte falsch interpretiert und hätten zu Speicherüberscheibungen führen können. CVE-2020-3898
php5 5.3.10-1ubuntu3.26+ta20
Beim Upload von Dateien mit langen Filenamen konnte es zu Fehlern kommen, nach denen nicht richtig aufgeräumt wurde. Als Resultat gab es immer mehr Dateileichen, welche die Platte des Servers zumüllen konnten. CVE-2019-11048
bind9 9.8.1.dfsg.P1-4ubuntu0.22+ta9
Beim ersten CVE konnte ein rekursiver Server (ein Server, der Anfragen, die nicht zu seinen Zonen gehören, an andere Server weiterleitet) mit bestimmten Anfragen dazu gebracht werden, andere Server sehr oft zu kontaktieren. Dadurch wurden nicht nur Resourcen auf dem eigenen Server sinnlos verbraucht, auch die anderen Server konnten in die Knie gezwungen werden.
Beim zweiten CVE konnte der Server bei bestimmten Anfragen in einen undefinierten Zustand gebracht werden, was zu einem denial of service führen kann. CVE-2020-8616 CVE-2020-8617
clamav 0.99.2+addedllvm-0ubuntu0.12.04.1+ta7
Durch Manipulation des Stacks mit extra hergestellten PDF oder ARJ Files konnte der ClamAV Scanner zum Absturz gebracht und ein denial of service verursacht werden. CVE-2020-3327 CVE-2020-3341
apache2 2.2.22-1ubuntu1.11+ta6
In mod_proxy_ftp wurde nicht initialisierter Speicher verwendet und damit konnten ungewollt Informationen nach außen gelangen. CVE-2020-1934
samba 3.6.25-0ubuntu0.12.04.10+ta9 CVE-2020-14303 CVE-2020-10745
Zum einen wird verhindert, dass der Samba Domain Controler beim Empfang eines leeren UDP Paketes die gesamte CPU auslastet.
Zum zweiten wird ebenfalls eine hohe CPU-Auslastung verhindert, wenn ein Client bei seinen Anfragen Domainnamen mit zwei aufeinanderfolgenden Punkten (also z.B. example…com) schickt.
Von weiteren Samba CVEs war diese Version nicht betroffen.
es gibt ein neues Paket für bind9 (9.8.1.dfsg.P1-4ubuntu0.22+ta10).
Bei manuell erstellten Antworten auf signierte TSIG Anfragen kann der named zum Absturz gebracht werden. Die Antworten können einerseits durch einen bösartigen Server, andererseits durch einen gut ratenden Angreifer erzeugt werden.
keine Ahnung warum das nicht mehr funktioniert. Das Repo funktioniert mit mini-dinstall. Da muss sich das Infrastruktur-Team drum kümmern. Ich kenne mich damit leider nicht aus.
Ersatzweise kann ich anbieten, dass man das Repo unter archive.lmndev.de benutzt:
Ein paar Bemerkungen (weil „das Infrastrukturteam“ ja ich bin):
Das Problem mit den Signaturen entsteht seit neuestem weil auf dem archive-Server was geändert wurde, um das 7er Repo irgendwie mit einem neuen Key auszustatten. Ob das inzwischen passiert ist,. weiß ich leider nicht.
Bei mir tut das babo62 Repo jetzt mit http und https
es gibt ein neues clamav-Paket der Version 0.99.2+addedllvm-0ubuntu0.12.04.1+ta8.
Der CVE dazu ist CVE-2020-3350.
Unter bestimmten Umständen konnte ein lokaler Nutzer den clamscan dazu bringen, beim Prüfen von schädlichen Dateien andere Dateien zu löschen.
Bei diesem Patch gab es viele Änderungen, daher bitte rückmelden, ob der clamav fehlerfrei funktioniert.