Advertisement
Bienvenido a Squishdot Reportes Anuncios Debian Ciencia Linux
 principal
 nivel superior
 enviar artículo
 buscar
 administrar
 acerca de ...
 rdf
 rss
 main


Reporte 19 a 30 de Mayo
Anuncios Posted by Víctor Martínez on Friday May 30, @11:37AM el 2008
from the late, late, late... dept.
Bueno esta quincena he estado aplicando parches de seguridad en nuestras maquinas.
17 de Mayo
Package Details:

Reading changelogs...
--- Changes for netpbm-free (libnetpbm10 libnetpbm9 netpbm) ---
netpbm-free (2:10.0-11.1+etch1) stable-security; urgency=high

* Non-maintainer upload by the security team
* CVE-2008-0554: Apply upstream change to correct a buffer overrun in GIF reader code allowing arbitary code execution

-- Devin Carraway Tue, 13 May 2008 07:01:02 +0000

--- Changes for php4 (libapache-mod-php4 php4 php4-cli php4-common php4-domxml php4-gd php4-imap php4-mcrypt php4-mysql php4-pear php4-pgsql) ---
php4 (6:4.4.4-8+etch6) stable-security; urgency=low

* NMU prepared for the security team by the package maintainer.
* The following security issues are addressed with this update:
- CVE-2007-3806: glob denial of service
- CVE-2007-3998: vulnerability in wordwrap
- CVE-2008-2051: incomplete multibyte chars inside escapeshellcmd()

-- Sean Finney Wed, 14 May 2008 22:10:16 +0200

php4 (6:4.4.4-8+etch5) stable-security; urgency=low

* NMU prepared for the security team by the package maintainer.
* The following security issues are addressed with this update:
- CVE-2007-3799: session insertion vulnerability
- CVE-2007-4657: integer overflows in strspn/strcspn

-- sean finney Thu, 20 Sep 2007 20:21:45 +0200

18 de mayo
Package Details:

Reading changelogs...
--- Changes for netpbm-free (libnetpbm10 netpbm) ---
netpbm-free (2:10.0-11.1+etch1) stable-security; urgency=high

* Non-maintainer upload by the security team
* CVE-2008-0554: Apply upstream change to correct a buffer overrun in GIF reader code allowing arbitary code execution

-- Devin Carraway Tue, 13 May 2008 07:01:02 +0000

19 de mayo
Package Details:

Reading changelogs...
--- Changes for netpbm-free (libnetpbm10 netpbm) ---
netpbm-free (2:10.0-11.1+etch1) stable-security; urgency=high

* Non-maintainer upload by the security team
* CVE-2008-0554: Apply upstream change to correct a buffer overrun
in GIF reader code allowing arbitary code execution

-- Devin Carraway Tue, 13 May 2008 07:01:02 +0000

21 de mayo
Package Details:

Reading changelogs...
--- Changes for gnutls13 (libgnutls13) ---
gnutls13 (1.4.4-3+etch1) stable-security; urgency=high

* Apply patch from Simon Josefsson to fix three security vulnerabilities
(GNUTLS-SA-2008-1):
- Fix crash when sending invalid server name (GNUTLS-SA-2008-1-1)
- Fix crash when sending repeated client hellos (GNUTLS-SA-2008-1-2)
- Fix crash in cipher padding decoding for invalid record lengths
(GNUTLS-SA-2008-1-3)

-- Florian Weimer Tue, 20 May 2008 09:57:16 +0200

22 de mayo
Package Details:

Reading changelogs...
--- Changes for speex (libspeex1) ---
speex (1.1.12-3etch1) stable-security; urgency=high

* Non-maintainer upload by the security team
* Fix arbitrary code execution due to insufficient boundary check on a header structure of a speex stream (Fixes: CVE-2008-1686)

-- Steffen Joeris Tue, 6 May 2008 12:25:10 +0000

27 de mayo
Package Details:

Reading changelogs...
--- Changes for mtr (mtr-tiny) ---
mtr (0.71-2etch1) stable-security; urgency=high

* Non-maintainer upload by the security team
* Fix possible buffer overflow in split.c by using snprintf, instead of sprintf Fixes: CVE-2008-2357

-- Steffen Joeris Sun, 25 May 2008 04:07:45 +0000

29 de mayo
Package Details:

Reading changelogs...
--- Changes for libxslt (libxslt1.1) ---
libxslt (1.1.19-2) stable-security; urgency=high

* Non-maintainer upload by The Security Team.
* Updated pattern.c to prevent buffer overflow via long transformation match. [CVE-2008-1767]

-- Steve Kemp Mon, 26 May 2008 14:33:41 +0000

30 de Mayo se cierra un bugreport enviado por un servidor al BTS de Debian http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=477514 el paquete se ha marcado como obsoleto debido a que el upstream lo ha abandonado, posible remplazo centerim.

He seguido tambien con el uso de la virtualización para pruebas en proveedores, ahora ya tengo una visión más completa (tambien via safari estoy leyendo "Running Xen: A Hands-On Guide to the Art of Virtualization", pero voy realmente lento), por otro lado con prueba y error me he dado cuenta que vpslink utiliza OpenVZ que es la opcion libre de virtualización en la que esta basado Virtuozzo (Vpslink utiliza openvz, tektonic virtuozzo), he notado que a ambas soluciones aun cuando ofrecen la posibilidad de hacer uso de iptables, tienen un uso exagerado de recursos, así usar fail2ban para bloquear ataques por diccionario a esas instancias es muy costoso en cuanto a tiempo de CPU. Por otra parte eso me hizo buscar una solución que no dependiera de iptables, encontrando otro script en python que hace el truco Denyhosts que basicamente hace lo mismo que fail2ban pero añadiendo entradas a hosts.deny en lugar de a iptables.

Por otro lado Xen no presenta este problema con modificar cosas en iptables y aun permite añadir y remover modulos al kernel que esta uno corriendo, diria que pronto tendria una instancia de prueba de Xen, pero no lo veo tan probable como quisiera, estoy en cierre de semeste y entrega de primer borrador de tesis.

He seguido con la saga del squishdot a Zope 2.9 no he podido encontrar gran ayuda en la lista de squishdot en yahoo. Tambien he de decir que no he posteado mi problema especifico, puesto que me faltan datos, puesto que no estoy seguro de como se actualizo squishdot a la version 1.5.0 sobre todo si se utilizo el UpdateSupport product para Zope (que no he podido localizar en ningun lado, en zope.org ha sido borrado por el propio autor), sigo recibiendo un error __getitem__ que segun la propia lista de squish sugiere que es relativo a http://tech.groups.yahoo.com/group/squishdot/message/2668 la migracion a 2.8.x y el cambio de setitem por getitem, si recuerdan meses atras utilice el fixdot de un hilo que termina apuntando a squishdot.org como el que ya mencione. En cuanto me sea posible voy a recopilar mis propios post aqui para exponer nuestro problema en la lista de squish.

Reporte 30-V-08 | Reporte 23-V-08  >

 
Related Links
  • Articles on Anuncios
  • Also by Víctor Martínez
  • Contact author
    		•

    The Fine Print: The following comments are owned by whoever posted them.
    ( Reply )

    Re: Reporte 19 a 30 de Mayo
    by jergas on Saturday May 31, @04:21AM

    Gracias por tu extenso reporte!

    Lo de los parches es poco excitante pero necesario.

    Aqui tengo una maquina donde podrias poner Xen o alguna de las otras opciones de visualizacion a prueba, solo hay que ponernos de acuerdo pa que te la de.

    Sobre lo del squishdot, la neta me da muy mala espina que sigamos usando un paquete tan muerto, pero bueno, a ver en que acaba.
    [ Reply to this ]
    The Fine Print: The following comments are owned by whoever posted them.
    ( Reply )

    Powered by Zope  Squishdot Powered     		  "Any system that depends on reliability is unreliable." -- Nogg's Postulate
    All trademarks and copyrights on this page are owned by their respective companies. Comments are owned by the Poster. The Rest ©1999 Butch Landingin.
    [ home | post article | search | admin ]