(ag) – Die Entwickler des Linux-Kernel haben zwei Sicherheitslücken ausgebessert.
Die Sicherheitslücken lassen sich von lokalen Anwendern ausnutzen, um das System zu einem Absturz zu bewegen. Auslöser der Schwachstellen sind Fehler in den Funktionen read_rbu_image_type() und read_rbu_packet_size() in der Datei drivers/firmware/dell_rbu.c. Beim Versuch Null Bytes von /sys/devices/platform/dell_rbu/image_type oder /sys/devices/platform/dell_rbu/packet_size führt zu einem Absturz.
Die Kernel-Entwickler raten zu einem Update auf Version 2.6.27.13 oder 2.6.28.2. Die Sicherheitsexperten von Secunia stufen die Schwachstelle als weniger kritisch ein.
Quelle: TEC Channel
(jp) - Das zweite Service Pack für Ubuntu 8.04 beinhaltet zahlreiche Sicherheits- und Kompatibilitäts-Patches. Außerdem gibt es Bugfixes für beliebte Anwendungen.
Die Linux-Distribution Ubuntu 8.04 erhielt nun ihr zweites Update-Paket und damit die Versionsnummer 8.04.2. Insgesamt beinhaltet das Paket über 200 Updates. Neue Installationsmedien vermeiden langes Downloaden aller Updates bei einer erneuten Installation.
Neben diversen Sicherheitsupdates und Bug-Fixes, etwa für PDFs oder das Chat-Tool Pidgin, wird nun während der Installation eine „sambashare group“ erstellt und der erstellende Benutzer hinzugefügt. Verbessert wurde auch das Strom-Management der Festplatten. Eine Liste der Änderungen finden Sie hier.
Ubuntu ist mit einem „LTS“ versehen, das für Long-Time-Service steht: Es soll bis April 2011 unterstützt werden, auf Servern sogar zwei weitere Jahre. Die nächste LTS-Version soll im April 2010 erscheinen.
Quelle: PC Welt
(vr) – Das Entwickler-Team um den Linux-Kernel hat eine Sicherheitslücke gemeldet.
Die Schwachstelle lässt sich unter Umständen ausnutzen, um ein System in einem unbrauchbaren Zustand zu hinterlassen. Der DoS-Angriff ist durch einen Fehler in der Funktion keyctl_join_session_keyring() in der Datei security/keys/keyctl.c möglich. Erfolgreich ausgenutzt könnte der Fehler den ganzen verfügbaren Speicher vereinnahmen.
Weiterlesen
(vr) – Die Version 2.1.12 des Linux-Sicherheitssystems könnte die letzte gewesen sein, denn das Unternehmen GRSecurity steht kurz vor dem Bankrott.
GRSecurity ist eine für den Linux-Kernel optimierte Sammlung von Patches, die das Prinzip des geringsten Privilegs verfolgt. Linux-Systeme sollen mit dieser Sammlung deutlich an Sicherheit gewinnen. Zu den abgestuft aktivierbaren Features zählen unter anderem Role-Based Access Control (RBAC), Chroot-Restriktionen, Randomisierung von Adressbereichen und Prozess-IDs und umfassende Audit-Funktionen.
Weiterlesen
(am) - BitDefender hat Schwachstellen im Antivirus Scanner for Unices 7.x ausgebessert.
Die gemeldeten Sicherheitslücken lassen sich im schlimmsten Fall für Systemzugriffe ausnutzen. Auslöser ist ein Fehler bei der Verarbeitung bestimmter PE-Dateien, die mit NeoLite oder ASProtect gepackt wurden. Speziell präparierte PE-Dateien könnten das Ausführen beliebigen Codes zulassen.
Bestätigt sind die Sicherheitslücken für die Versionen 7.60825 und frühere 7.x-Varianten. Andere Versionen könnten ebenfalls betroffen sein. Ein Update steht zur Verfügung. Laut den Entdeckern sind Nutzer einer höheren Version als 7.60825 nicht betroffen. BitDefender Antivirus Scanner for Unices ist verfügbar für Linux und FreeBSD.
Quelle: TEC Channel
(ag) – Adobe rät dringend zum Update des Flash Player.
Der Flash Player unter Linux hat eine kritische Sicherheitslücke, die es Angreifern ermöglicht, die Kontrolle über betroffene Systeme zu übernehmen. Ein Update sowohl für den Flash Player 9 als auch 10 steht bereit.
Adobe warnt vor einer kritischen Sicherheitslücke im Flash Player für Linux in den Versionen 9 und 10. Mit Hilfe einer speziell präparierten SWF-Datei können Angreifer Linux-Systeme, auf denen die Software installiert ist, unter ihre Kontrolle bringen.
Weiterlesen
(ag) – Sun Microsystems hat ein wichtiges Update für Sun Java System Portal Server 7.x zur Verfügung gestellt.
Die Sicherheitslücke lässt sich ausnutzen, um sensible Informationen zu ergaunern. Der Fehler ist nicht näher spezifiziert. Erfolgreich ausgenutzt lassen sich jedoch bestimmte lokale Dateien und die Konfiguration des Servers auslesen. Laut Sun ist die Schwachstelle für die Varianten 7.1 und 7.2 bestätigt.
Weitere Informationen und Download-Links zu den Updates finden Sie in einer von Sun bereitgestellten Sicherheitsanweisung. Es stehen fehlerbereinigte Versionen für Solaris 8/9/10 und Linux zur Verfügung.
Quelle: TEC Channel
(ag) – Die Entwickler der auf Linux basierenden Live-CD SystemRescueCd haben eine aktualisierte Version zur Verfügung gestellt.
Die Erschaffer der Rettungs-CD haben dem Linux-Kernel ein Update auf Version 2.6.27.7 inklusive Reiser4-Treiber spendiert. Squashfs mit LZMA-Unterstützung ist nun in Version 3.4 enthalten. GParted erhielt ein Update auf 0.4.1 und NTFS-3G auf 1.5130. Letzteres ermöglicht Lese- und Schreibzugriff auf NTFS-Partitionen. Ebenso besserte man einen Fehler aus, der eine Verwendung von thttpd nicht möglich machte. Ein weiterer Bug wurde bereinigt, damit PXE-Netzwerk-Start dynamische Adressen bekommen kann.
Weiterlesen
(ag) – Helge Deller hat eine weniger kritische Sicherheitslücke im Linux-Kernel 2.6.x entdeckt und gemeldet.
Die Schwachstelle können Angreifer ausnutzen, um den Linux-Kernel abstürzen zu lassen. Auslöser ist ein Fehler in der parisc_show_stack()-Funktion. Voraussetzungen für einen erfolgreichen Angriff ist, dass der Kernel auf einer 32- oder 64-Bit-PARISC-Maschine läuft. Außerdem muss der Angreifer ein lokales Konto besitzen.
Die Sicherheitslücke ist in Version 2.6.28-rc7 bereits ausgebessert. Die Sicherheitsanweisung im Original finden Sie hier.
Quelle: TEC Channel
(ag) – Dann Frazier hat eine weniger kritische Schwachstelle im Linux-Kernel gemeldet.
Die Sicherheitslücke lässt sich von lokalen Anwendern ausnutzen, um einen so genannten Denial-of-Service-Angriff auszuführen. Schuld ist die Funktion sendmsg(), die nicht ausreichend blockiert, während der „UNIX Garbage Collector“ läuft. Unter Umständen könnten sich das Angreifer zu Nutze machen.
Die Schwachstelle wird als weniger kritisch eingestuft. Im GIT-Repository des Linux-Kernels ist sie bereits behoben. Die Sicherheitsanweisung im Original finden Sie bei Gmane.
Quelle: TEC Channel
