Aktualisierungen für 6.2

MachtDochNix · 3. Juni 2021 um 03:48

Hallo Steffen,

ich würde das nicht als geholfen betiteln! Es bekämpft nur die Symthome.
Helfen wird nur ein Wechsel auf eine weiter gewartete Basis. Also hilft da nur, der Wechsel auf die 7er!

Beste Grüße

Thorsten

steff66 · 3. Juni 2021 um 08:39

Hallo Thorsten,
du hast recht. Das ist auch so geplant. Bei unserem 12 Jahre alten Server mit 3 HDDs lohnt sich der Umstieg nicht. Wir hoffen auf neue Hardware und dann starten wir mit V7.

Viele Grüße

Steffen

jrichter · 3. Juni 2021 um 09:37

Hallo zusammen,

die Paketquellen für 12.04 sind nun endgültig nach old-releases umgezogen. Man kann die Paketquellen entsprechend anpassen:

cd /etc/apt
cat sources.list | sed -e 's/de.archive.ubuntu.com/old-releases.ubuntu.com/g' | sed -e 's/security.ubuntu.com/old-releases.ubuntu.com/g' > sources.list.d/sources-old-versions.list
mv sources.list sources.list.deactivated
aptitude update

Danach sollte das Updaten wieder fehlerfrei möglich sein. Es ist auch durchaus sinnvoll, denn ganz ab und zu gibt es auch hier noch Updates.

Beste Grüße

Jörg

martini412 · 3. Juni 2021 um 09:56

Hallo Jörg,

vielen Dank für die Info und die Anleitung. Könnte in dem Befehl ein Tippfehler sein ;-)?

jrichter:

cat sources.list | sed -e 's/de.archive.ubuntu.com/old-releases.ubuntu.com/g' | sed -e 's/security.ubuntu.com/old-releases.ubuntu.com/g' > sources.list.d/sources-old-versions.list
mv sources.list sources.list.deactivated

11:49/4 server /etc/apt # cat sources.list | sed -e ‚s/de.archive.ubuntu.com/old-releases.ubuntu.com/g‘ | sed -e
sed: Diese Option benötigt ein Argument – »e«

Viele Grüße
Jürgen

martini412 · 3. Juni 2021 um 10:07

sorry - war ein typischer Copy&paste-Fehler ;-).
VG Jürgen

thomas · 28. Juni 2021 um 10:36

Moin moin!

Herr Alteholz hat Sicherheitsaktualisierungen für lmn62 veröffentlicht:

VG, Thomas

thomas · 28. Juni 2021 um 13:34

Moinsen!

Und noch einer:

VG, Thomas

thomas · 13. September 2021 um 13:57

Hallo zusammen!

Herr Alteholz gibt bekannt:

es gibt wieder eine neue Version[1] (2.0.36~rc1~dfsg-6ubuntu2.4+ta6) von
libgd2.

Damit gibt es einen Patch für:
CVE-2021-40145 [2]

Mit speziell erzeugten GD2-Dateien kann es zu einem doppelten free() für einen Speicherbereich und damit zum Crash der Applikation kommen.

[1] Index of /packages/amd64/20210827/libgd2
[2] CVE-2021-40145

Die Pakete sind jetzt im babo62-Repo verfügbar.

VG, Thomas

alois · 13. September 2021 um 15:45

Hallo Thomas,

ich habe jetzt an zwei Systemen versucht die Updates einzuspielen. Da kommt nichts.

Cache habe ich vorher geleert.

Gruß

Alois

thomas · 13. September 2021 um 20:02

Hallo Alois,

Hallo Thomas,

ich habe jetzt an zwei Systemen versucht die Updates einzuspielen. Da kommt nichts.

Cache habe ich vorher geleert.

die Pakete sind definitiv verfügbar. Was gibt
apt-cache show libgd2-xpm
aus?

VG, Thomas

alois · 13. September 2021 um 21:42

Halo Thomas,

da kommt ganz viel womit ich nichts anzufangen weiß.

Package: libgd2-xpm
Architecture: amd64
Version: 2.0.36~rc1~dfsg-6ubuntu2.6
Multi-Arch: same
Priority: optional
Section: libs
Source: libgd2
Origin: Ubuntu
Maintainer: Ubuntu Developers ubuntu-devel-discuss@lists.ubuntu.com
Original-Maintainer: GD team pkg-gd-devel@lists.alioth.debian.org
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Installed-Size: 633
Provides: libgd2
Pre-Depends: multiarch-support
Depends: libc6 (>= 2.14), libfontconfig1 (>= 2.8.0), libfreetype6 (>= 2.2.1), libjpeg8 (>= 8c), libpng12-0 (>= 1.2.13-4), libxpm4, zlib1g (>= 1:1.1.4)
Suggests: libgd-tools
Conflicts: libgd2, libgd2-noxpm
Filename: pool/main/libg/libgd2/libgd2-xpm_2.0.36~rc1~dfsg-6ubuntu2.6_amd64.deb
Size: 202820
MD5sum: bae6a6451e610c9117b9a805dfaa7f35
SHA1: 07e6e791a50aa8ef5d86520bc7608bfd8cb7acfa
SHA256: ef7befb00730d4c1e8110e2a2f8b7e9cf43c9534a408540283758ab7d3bdd0ff
SHA512: ad4b87e445501c6e07a5e8eac5db82ab88215b5305605536b28ba5acaf7af79902d2a52eae69a454b65c60f7540088032b2f02a7da14429af86a4575163630bc
Homepage: http://www.libgd.org/
Description-de: GD-Grafikbibliothek Version 2
GD ist eine Bibliothek für grafische Darstellungen. Sie erlaubt ihrem Code
das schnelle Zeichnen von vollständigen Bildern mit Linien, Bögen, Text,
mehreren Farben, Ausschneiden und Einfügen aus anderen Bildern, Füllen und
das Schreiben des Ergebnisses als PNG-Datei. Das ist insbesondere für Web-
Anwendungen nützlich, da PNG eines der Formate ist, die von den meisten
Browsern für eingebettete Bilder akzeptiert werden.
.
This is the runtime package of the library, built with XPM (X pixmap) and
fontconfig support.
Task: ubuntu-desktop, print-server, ubuntu-usb, kubuntu-desktop, kubuntu-active-desktop, kubuntu-active, edubuntu-desktop, edubuntu-usb, xubuntu-desktop, mythbuntu-frontend, mythbuntu-desktop, mythbuntu-backend-slave, mythbuntu-backend-master, lubuntu-core, ubuntustudio-desktop
Description-md5: fe9ceb2ba067c4642b2db094e4ed535a
Supported: 5y

Package: libgd2-xpm
Architecture: amd64
Version: 2.0.36~rc1~dfsg-6ubuntu2.4+ta6
Multi-Arch: same
Priority: optional
Section: libs
Source: libgd2
Maintainer: Ubuntu Developers ubuntu-devel-discuss@lists.ubuntu.com
Original-Maintainer: GD team pkg-gd-devel@lists.alioth.debian.org
Installed-Size: 633
Provides: libgd2
Pre-Depends: multiarch-support
Depends: libc6 (>= 2.14), libfontconfig1 (>= 2.8.0), libfreetype6 (>= 2.2.1), libjpeg8 (>= 8c), libpng12-0 (>= 1.2.13-4), libxpm4, zlib1g (>= 1:1.1.4)
Suggests: libgd-tools
Conflicts: libgd2, libgd2-noxpm
Filename: babo62/libgd2-xpm_2.0.36~rc1~dfsg-6ubuntu2.4+ta6_amd64.deb
Size: 230188
SHA256: 13a55f322867fffa1d8ed9b157b54224bd0ff8e69041b106732c83250de929db
SHA512: 398ffde5f02c208621670b8e73bb94862a11f78dcdfdca652c8bca3041096e5e7190de8013eb5bb10756ba15c2f691a3cc5cad3e8a0d5976ffffc60a2f0e2cca
Homepage: http://www.libgd.org/
Description-de: GD-Grafikbibliothek Version 2
GD ist eine Bibliothek für grafische Darstellungen. Sie erlaubt ihrem Code
das schnelle Zeichnen von vollständigen Bildern mit Linien, Bögen, Text,
mehreren Farben, Ausschneiden und Einfügen aus anderen Bildern, Füllen und
das Schreiben des Ergebnisses als PNG-Datei. Das ist insbesondere für Web-
Anwendungen nützlich, da PNG eines der Formate ist, die von den meisten
Browsern für eingebettete Bilder akzeptiert werden.
.
This is the runtime package of the library, built with XPM (X pixmap) and
fontconfig support.

Package: libgd2-xpm
Architecture: amd64
Version: 2.0.36~rc1~dfsg-6ubuntu2.4+ta5
Multi-Arch: same
Priority: optional
Section: libs
Source: libgd2
Maintainer: Ubuntu Developers ubuntu-devel-discuss@lists.ubuntu.com
Original-Maintainer: GD team pkg-gd-devel@lists.alioth.debian.org
Installed-Size: 633
Provides: libgd2
Pre-Depends: multiarch-support
Depends: libc6 (>= 2.14), libfontconfig1 (>= 2.8.0), libfreetype6 (>= 2.2.1), libjpeg8 (>= 8c), libpng12-0 (>= 1.2.13-4), libxpm4, zlib1g (>= 1:1.1.4)
Suggests: libgd-tools
Conflicts: libgd2, libgd2-noxpm
Filename: babo62/libgd2-xpm_2.0.36~rc1~dfsg-6ubuntu2.4+ta5_amd64.deb
Size: 229132
MD5sum: 2d0ed5e71745f841994830c04f0eb973
SHA1: 77453e2f79b3202222e5f4ece7c8ec27ce699702
SHA256: fd0396f3cc0a37c7de48ece1b23f7a1baf714484c8bcef555d9158ae1fdc9673
SHA512: 16385f6971459304ae49f061ff37ef6cd3921083f929d762308443507b4056259f6b0aca4f90ced5a8f546bb653801812ad3e1c6f8badb6b573067ba4025760d
Homepage: http://www.libgd.org/
Description-de: GD-Grafikbibliothek Version 2
GD ist eine Bibliothek für grafische Darstellungen. Sie erlaubt ihrem Code
das schnelle Zeichnen von vollständigen Bildern mit Linien, Bögen, Text,
mehreren Farben, Ausschneiden und Einfügen aus anderen Bildern, Füllen und
das Schreiben des Ergebnisses als PNG-Datei. Das ist insbesondere für Web-
Anwendungen nützlich, da PNG eines der Formate ist, die von den meisten
Browsern für eingebettete Bilder akzeptiert werden.
.
This is the runtime package of the library, built with XPM (X pixmap) and
fontconfig support.

Package: libgd2-xpm
Priority: optional
Section: libs
Installed-Size: 633
Maintainer: Ubuntu Developers ubuntu-devel-discuss@lists.ubuntu.com
Original-Maintainer: GD team pkg-gd-devel@lists.alioth.debian.org
Architecture: amd64
Source: libgd2
Version: 2.0.36~rc1~dfsg-6ubuntu2
Provides: libgd2
Depends: libc6 (>= 2.11), libfontconfig1 (>= 2.8.0), libfreetype6 (>= 2.2.1), libjpeg8 (>= 8c), libpng12-0 (>= 1.2.13-4), libxpm4, zlib1g (>= 1:1.1.4)
Pre-Depends: multiarch-support
Suggests: libgd-tools
Conflicts: libgd2, libgd2-noxpm
Filename: pool/main/libg/libgd2/libgd2-xpm_2.0.36~rc1~dfsg-6ubuntu2_amd64.deb
Size: 202124
MD5sum: 858b5302af85a3ae22ea73c142e5fd26
SHA1: 465a9dd1813678aaaa2d3809f55cf1312fcc529f
SHA256: a5ac32e417288237367cf95c6b4052a35f530badbb18720a9d298db9cc06e2cc
Description-de: GD-Grafikbibliothek Version 2
GD ist eine Bibliothek für grafische Darstellungen. Sie erlaubt ihrem Code
das schnelle Zeichnen von vollständigen Bildern mit Linien, Bögen, Text,
mehreren Farben, Ausschneiden und Einfügen aus anderen Bildern, Füllen und
das Schreiben des Ergebnisses als PNG-Datei. Das ist insbesondere für Web-
Anwendungen nützlich, da PNG eines der Formate ist, die von den meisten
Browsern für eingebettete Bilder akzeptiert werden.
.
This is the runtime package of the library, built with XPM (X pixmap) and
fontconfig support.
Multi-Arch: same
Homepage: http://www.libgd.org/
Description-md5: fe9ceb2ba067c4642b2db094e4ed535a
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Origin: Ubuntu
Supported: 5y
Task: ubuntu-desktop, print-server, ubuntu-usb, kubuntu-desktop, kubuntu-active-desktop, kubuntu-active, edubuntu-desktop, edubuntu-usb, xubuntu-desktop, mythbuntu-frontend, mythbuntu-desktop, mythbuntu-backend-slave, mythbuntu-backend-master, lubuntu-core, ubuntustudio-desktop

Viele Grüße

Alois

thomas · 14. September 2021 um 06:53

Hallo Alois,

Die neue Paketversion ist verfügbar. Evtl. ist auf deinen Systemen kein libgd2 installiert?

VG, Thomas

alois · 14. September 2021 um 11:33

Hallo Thomas,

das wird es sein.

Viele Grüße und vielen Dank

Alois

thomas · 29. September 2021 um 16:36

Guten Abend allerseits!

Thorsten Alteholz hat drei Patches für lmn 6.2 veröffentlicht:

apache2 2.2.22-1ubuntu1.11+ta8 [1]

Damit gibt es einen Patch für:
CVE-2021-39275 [2]

Durch ungünstige Input-Daten eines Moduls kann eine interne Funktion des Apachen zur Überschreibung von Speicher gezwungen werden. Alle Module, die beim Apachen mitgeliefert werden, prüfen an dieser Stelle ob die übergebenen Daten gültig sind. Allerdings kann man nicht davon ausgehen, das auch alle Third-Party-Module diese Überprüfung durchführen.

[1] Index of /packages/amd64/20210928/apache2
[2] CVE-2021-39275
cyrus-imapd-2.4 2.4.12-2+ta1 [3]

Damit gibt es einen Patch für:
CVE-2021-33582 [4]

Beim cyrus-imapd werden an mehreren Stellen Daten, die von einem Client geliefert werden, als Key in einer Hash-Table verwendet. Benutzt ein bösartiger Client bestimmte Daten, ist der Server nur noch mit der Verarbeitung der Hash-Table beschäftigt und kann auf andere Anfragen nicht mehr reagieren.

[3] Index of /packages/amd64/20210928/cyrus-imapd-2.4
[4] CVE-2021-33582
openssl 1.0.1-4ubuntu5.45+ta1 [5]

Es handelt sich dabei zwar nicht um ein Security-Update, es könnte aber trotzdem nützlich sein.
Am 30. September verliert ein Zertifikat von Lets-Encrypt seine Gültigkeit. Dieses Zertifikat ist ein sogenanntes Root-Zertifikat, welches zur Überprüfung der Nutzer-Zertifikate verwendet wird. Normalerweise verlieren Root-Zertifikate alle paar Jahr ihre Gültigkeit und werden einfach durch ein Ersatz-Zertifikat ausgetauscht. In diesem Fall gibt es allerdings ein Problem bei älteren Versionen von openssl, die mit der Kombination „abgelaufenes Zertifikat“+„Ersatzzertifikat“ nicht zurecht kommen und immer melden, dass eigentlich gültige Lets-Encrypt-Zertifikate ungültig sind. Dieser Patch ist nur nötig wenn ein Linuxmuster-Rechner mit der alten openssl-Version SSL-Verbindungen zu anderen Rechnern aufbauen will. SSL-Verbindungen zu diesem Rechner sollten nicht betroffen sein.

[5] Index of /packages/amd64/20210928/openssl

VG, Thomas

thomas · 9. November 2021 um 13:33

Hi!

Thorsten Alteholz hat Aktualisierungen für lmn 6.2 veröffentlicht:

es gibt wieder eine neue Version[1] (9.8.1.dfsg.P1-4ubuntu0.22+ta13) von bind9.

Der CVE dazu ist:
CVE-2021-25219 [2]

bind9 stellt fest ob ein Server, den er wegen einer Namensauflösung befragt, Probleme hat und nicht zuverlässig antworten kann. In so einem Fall wird für diese Anfragen ein interner Cache (lame cache) verwendet.
Ein bösartiger Server kann die Einträge in diesem Cache so beeinflussen, das der bind9 sehr viel CPU-Zeit auf die Verwaltung des Caches verwenden muss. Dadurch werden alle Anfragen nur verzögert beantwortet.

[1] Index of /packages/amd64/20211031/bind9
[2] CVE-2021-25219

VG, Thomas

thomas · 5. Februar 2022 um 10:54

Moin moin!

Herr Alteholz schreibt:

es gibt eine neue Version[1] (2.2.22-1ubuntu1.11+ta9) von apache2.

Damit gibt es einen Patch für:
CVE-2021-44224 [2]

Falls der Apache als „reverse proxy“ eingesetzt wird, kann eine manuell
erzeugte URI zu einem Absturz führen. Bei der gleichzeitigen Verwendung als „reverse- und
foward-proxy“ könnten Anfragen, die eigentlich nach außerhalb gehen sollten, auf einen lokalen Unix-Domain-Socket umgeleitet werden.

[1] Index of /packages/amd64/20220131/apache2
[2] CVE-2021-44224

VG, Thomas