LINUX.ORG.RU

utempter security update


0

0

Steve Grubb обнаружил уязвимость в библиотеке utempter (версии 0.5.2 и более ранние), с помощью которой потенциальный локальный злоумышленник может манипулировать файлами /var/run/utmp и /var/log/wtmp, не обладая на то достаточными правами доступа.

С подробной информацией об уязвимости можно ознакомиться по адресу:
http://cve.mitre.org/cgi-bin/cvename....

Всем пользователям уязвимых версий utempter рекомендуется обновить utempter до исправленной версии.

Обновления для дистрибутивов Slackware доступны по следующим адресам:

+ Для дистрибутива Slackware 9.1:
ftp://ftp.slackware.com/pub/slackware...

+ Для Slackware -current:
ftp://ftp.slackware.com/pub/slackware...

>>> Подробности

anonymous

Проверено: maxcom

не не так - пользователи slackware должны выполнить swaret --upgrade -a эсли, у них это, не по крону делается

angel_il ★★★★
()

Интересная деталь:

l/utempter-1.1.1-i486-1.tgz: Upgraded to libutempter-1.1.1
(this is a new version written by Dmitry V. Levin of ALT Linux)

Старый utempter в слаке полностью заменён на другую версию.

anonymous
()
Ответ на: комментарий от anonymous

Угу вроде LDV его давно переписал.Говрит что доверяет utempter только написанному своими руками:))

anonymous
()

Побольше бы таких новостей :-)

anonymous
()

а что касается слаки-9.0 ???
там нет пакета utempter(да и самой либы и исполняемого файла), собрать из исходников не проблема, но не будет ли проблем с приложениями использующими предыдущую версию
ps
не сервер
psps
заранее благодарен за конструктивный ответ

anonymous
()
Ответ на: комментарий от anonymous

local security маст дай. ее никогда не было и не будет,
т.к. она никому не нужна и неинтересна!!

anonymous
()

А alsa-driver-*.tgz под текущее ядро в 9.1 так и не появилось, приходится их --force...

anonymous
()
Ответ на: комментарий от anonymous

Это конечно ясно, но подправлю вопрос: "накроется ли медным тазом" исполнение каких-либо бинарников(либ) если я соберу и поставлю utempter-1.1.1 на слаку-9.0 ,где utempter невооруженным глазом невидно?

anonymous
()
Ответ на: комментарий от anonymous

>А alsa-driver-*.tgz под текущее ядро в 9.1 так и не появилось, приходится их --force...

А из сорсов собрать не проще чем приклеивать враждебные бинарные сущности ;) ?

sS ★★★★★
()
Ответ на: комментарий от sS

>А из сорсов собрать не проще чем приклеивать враждебные бинарные сущности ;) ?

Не такие уж они и враждебные - просто лень, на то она и *slack*ware :)

Aleksey
()
Ответ на: комментарий от anonymous

>если я соберу и поставлю utempter-1.1.1 на слаку-9.0 ,где utempter невооруженным глазом невидно?

одно не понятно, всетаки текущий релиз это 9.1 почему бы тебе до него не обновиться? всего то upgradepkg * либо swaret --upgrade -a

angel_il ★★★★
()
Ответ на: комментарий от angel_il

>одно не понятно, всетаки текущий релиз это 9.1 почему бы тебе до него не обновиться? всего то upgradepkg * либо swaret --upgrade -a

несчитаю нужным - все работает нормально(2.4.26,дырявый софт заменил более новыми версиями - samba,openssl,mutt,tcpdump и тд )

anonymous
()
Ответ на: комментарий от anonymous

alsa-driver-*.tgz под текущее ядро нужно искать не в 9.1, а в current.

anonymous
()

Сразу видно, что анонимус запостивший новость и angel_il пользуются слакой и пытаются незаметно рассказать как в ней все хорошо и доступно. :) "Не то что в ваших Дебианах и Красношляпках!" :)))))) Мне смешно.

anonymous
()
Ответ на: комментарий от anonymous

>Не то что в ваших Дебианах и Красношляпках!" :)))))) Мне смешно.

самое интересное, что в Слаквари дествительно все прозрачно...

angel_il ★★★★
()
Ответ на: комментарий от angel_il

Что прозрачно-то? Неужели ты думаешь, что дебиан отстает от слаквари по доступности и своевременности секьюрити-апдейтов (не надо только пожалуйста начинать про взломы, это к теме не относится)

anonymous
()
Ответ на: комментарий от anonymous

>Неужели ты думаешь, что дебиан отстает от слаквари по доступности и своевременности секьюрити-апдейтов

я такого не говорил, с чего ты взял такое?

angel_il ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.