subject:"\[noticias@hispasec.com\: una\-al\-dia \(8\/06\/2000"

Re: [noticias@hispasec.com: una-al-dia (8/06/2000

2000-06-17 Por tema Jordi Mallach

On Fri, Jun 16, 2000 at 04:37:13AM -0300, [EMAIL PROTECTED] wrote:
> ..."Lots of security holes have been dealt with since the last edition of
> Debian Weekly News:
> * A fix for the capabilities-related local root compromise in kernel
> 2.2.15 was [21]backported into the Debian package of kernel
> 2.2.15 ..."

Desconozco si había paquetes de 2.2.15 para Slink. Si es así, esos estarían
afectados. Te aseguro que los de Potato no.

   kernel: bug in capabilities handling allows root exploits
 _

   Date Reported:
  12 Jun 2000
   Affected Packages:
  kernel-image, kernel-source
   Vulnerable:
  No
   For more information:
  There is a widely-reported problem with the handling of POSIX
  capabilities in the linux kernel that can lead to root
  compromise in setuid applications. This bug does not affect
  kernels in the 2.0 or earlier series; the 2.0 kernels installed
  by default in debian 2.1 (slink) are not vulnerable. If you are
  running a kernel with a version of 2.1.*, 2.2.*, or 2.3.*, you
  should upgrade immediately.
   Fixed in:
  The Debian kernel source package currently in potato,
  kernel-source-2.2.15-3, and binaries built from it, such as
  kernel-image-2.2.15-2 (or more recent versions), are patched to
  prevent this vulnerability. If you prefer to download kernel
  source from a mirror of ftp.kernel.org instead of using the
  debian package, you should download 2.2.16 or better.

-- 
Jordi Mallach Pérez || [EMAIL PROTECTED] || Rediscovering Freedom,
   aka Oskuro in|| [EMAIL PROTECTED]  || Using Debian GNU/Linux
 Reinos de Leyenda  || [EMAIL PROTECTED]  || http://debian.org

http://sindominio.net  GnuPG public information:  pub  1024D/917A225E 
telnet pusa.uv.es 23   73ED 4244 FD43 5886 20AC  2644 2584 94BA 917A 225E

pgptt4yJA5MNO.pgp
Description: PGP signature

Re: [noticias@hispasec.com: una-al-dia (8/06/2000

2000-06-16 Por tema yashan

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

BS"D

On 14-Jun-00 Jesus M. Gonzalez-Barahona wrote:
>Por lo que sé, el 2.2.15 que hay ahora en potato está ya
> parcheado para esto... Pero podría estar equivocado, lo tengo oido,
> pero no lo he comprobado.

Cito Debian Weekly News:

..."Lots of security holes have been dealt with since the last edition of
Debian Weekly News:
* A fix for the capabilities-related local root compromise in kernel
2.2.15 was [21]backported into the Debian package of kernel
2.2.15 ..."
21. http://www.debian.org/Lists-Archives/debian-devel-changes-0006/msg00224.html

Salu2

Shalom ve Leitrahot

Alejandro David Yashan (GNU-Rex en IRC)

WinError 01F: Reserved for future mistakes of our developers. ;-)))

Acentos y e#es omitidas deliberadamente para evitar problemas de lectura  con
algunos clientes de e-mail

Linux Registered User #120401
POWERED BY GNU/Debian Slink  2.1  Kernel 2.2.16
Linux is userfriendly, but is only a bit selective about its friends :-)
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.0.1 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE5SV/KiS3xNWtJnS4RAmk1AKC8T+1ZRSjI6m5r9rAQR5zW6iSgqgCffwz2
cmLX0qG8amIlVyOr+7YZ7tI=
=FcOl
-END PGP SIGNATURE-

Re: [noticias@hispasec.com: una-al-dia (8/06/2000

2000-06-15 Por tema Jesus M. Gonzalez-Barahona


   Porlo que sé, el 2.2.15 que hay ahora en potato está ya
parcheado para esto... Pero podría estar equivocado, lo tengo oido,
pero no lo he comprobado.

Jesus.

SKaVeN writes:
 > Hell-o Amengual Argudo Juan Carlos!
 > 
 > El día Tue, Jun 13, 2000 at 05:03:31PM +0200 decías:
 > 
 > > Al hilo de esto, ¿se preve que pueda incorporarse el 2.2.16 a la potato?
 > 
 > visto la noticia deberían hacerlo o por lo menos parchear el 2.2.15  ;)
 > 
 > -- 
 > 
 > Nos leemos...
 >.--.
 > -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-   |o_o |
 >  SKaVeN - [EMAIL PROTECTED]   |:_/ |
 >  Linux Pauered (Debian GNU/Linux 2.2 Potato) //   \ \
 >  Linux Registered User #158497 (http://counter.li.org)  (| | )
 > -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-/'\_   _/`\
 >   \___)=3D(___/
 > 
 > 
 > --  
 > Unsubscribe?  mail -s unsubscribe [EMAIL PROTECTED] < /dev/null

-- 
Jesus M. Gonzalez Barahona| Grupo de Sistemas y Comunicaciones
[EMAIL PROTECTED] / [EMAIL PROTECTED] | ESCET, Universidad Rey Juan Carlos 
tel: +34 91 664 74 72 | c/ Tulipan s/n
fax: +34 91 664 74 90 | 28933 Mostoles, Spain

Re: [noticias@hispasec.com: una-al-dia (8/06/2000

2000-06-14 Por tema SKaVeN

Hell-o Amengual Argudo Juan Carlos!

El día Tue, Jun 13, 2000 at 05:03:31PM +0200 decías:

> Al hilo de esto, ¿se preve que pueda incorporarse el 2.2.16 a la potato?

visto la noticia deberían hacerlo o por lo menos parchear el 2.2.15  ;)

-- 

Nos leemos...
   .--.
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-   |o_o |
 SKaVeN - [EMAIL PROTECTED]   |:_/ |
 Linux Pauered (Debian GNU/Linux 2.2 Potato) //   \ \
 Linux Registered User #158497 (http://counter.li.org)  (| | )
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-/'\_   _/`\
  \___)=3D(___/

Re: [noticias@hispasec.com: una-al-dia (8/06/2000

2000-06-13 Por tema Jordi Mallach

On Tue, Jun 13, 2000 at 05:03:31PM +0200, Amengual Argudo Juan Carlos wrote:
> Al hilo de esto, ¿se preve que pueda incorporarse el 2.2.16 a la potato?

El kernel 2.2.15 de potato no es vulnerable (tiene parches de 2.2.16pre).

Si no me equivoco, la gente de los boot floppies están con el tema de
2.2.16, pero no se si estará para la primera release de potato.

Jordi

-- 
Jordi Mallach Pérez || [EMAIL PROTECTED] || Rediscovering Freedom,
   aka Oskuro in|| [EMAIL PROTECTED]  || Using Debian GNU/Linux
 Reinos de Leyenda  || [EMAIL PROTECTED]  || http://debian.org

http://sindominio.net  GnuPG public information:  pub  1024D/917A225E 
telnet pusa.uv.es 23   73ED 4244 FD43 5886 20AC  2644 2584 94BA 917A 225E


pgpIj4qfJ7ArU.pgp
Description: PGP signature

Re: [noticias@hispasec.com: una-al-dia (8/06/2000

2000-06-13 Por tema Amengual Argudo Juan Carlos

> Noticias importantes  ;)
> 
> -- 
> 
> Actualización urgente a Linux 2.2.16
> 
> Las versiones de kernel Linux 2.2.x anteriores a la 2.2.16 contienen
> diversos fallos de seguridad, algunos muy graves, por lo que se
> recomienda la actualización inmediata a 2.2.16. Los kernel 2.0.x no
> son vulnerables.
>

Al hilo de esto, ¿se preve que pueda incorporarse el 2.2.16 a la potato?

Saludos,



JUAN CARLOS AMENGUALScarred,
UNIVERSIDAD JAUME I your back was turned,
DEPARTAMENTO DE INFORMÁTICA curled like an embryo.
CAMPUS DE RIU SEC, EDIFICIO TI  Take another face
CASTELLON, 12071. SPAIN.you will be kissed
Phone: +34 964 728361   again.
Fax: +34 964 728435 Robert Smith (The Cure)
e-mail: [EMAIL PROTECTED]   - "Cold", Pornography, 1982, Fiction Rec. -

[noticias@hispasec.com: una-al-dia (8/06/2000) Actualización urgente a Linux 2.2.16]

2000-06-13 Por tema Jose Angel Fdez Luengo

Noticias importantes  ;)

-- 

Nos leemos...
   .--.
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-   |o_o |
 SKaVeN - [EMAIL PROTECTED]   |:_/ |
 Linux Pauered (Debian GNU/Linux 2.2 Potato) //   \ \
 Linux Registered User #158497 (http://counter.li.org)  (| | )
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-/'\_   _/`\
  \___)=3D(___/
--- Begin Message ---

   Hispasec una al día (8/06/2000)
   Todos los días una noticia de seguridad


Actualización urgente a Linux 2.2.16

Las versiones de kernel Linux 2.2.x anteriores a la 2.2.16 contienen
diversos fallos de seguridad, algunos muy graves, por lo que se
recomienda la actualización inmediata a 2.2.16. Los kernel 2.0.x no
son vulnerables.

Algunos de los problemas de seguridad solucionados en esta versión son:

* Bajo determinadas circunstancias, la llamada "setuid()", empleada
  para reducir los privilegios de un programa, puede fallar bajo la
  acción de un atacante, lo que le permitiría mantener privilegios.

* Realizar múltiples conexiones simultaneas a través de un "socket()"
  puede colgar la máquina.

* Las llamadas "readv()" y "writev()" pueden comportarse de manera
  incorrecta cuando las entradas son demasiado grandes.

* Existe un posible agujero de seguridad en el sistema SUNRPC
  (llamadas a procedimiento remoto).

* Diversos errores en el código de sockets y Appletalk permitirían
  que un usuario generase notificaciones de errores en el sistema
  ("opsss").

* Existe un problema de seguridad en la versión SPARC (el procesador
  utilizado por Sun Microsystems en sus máquinas) del kernel.

Los usuarios de Kernel 2.0.x no necesitan preocuparse, ya que estos
problemas no les afectan. Los usuarios de kernel 2.2.x deberían
actualizar sus sistemas lo antes posible, sobre todo si sus máquinas
proporcionan acceso SHELL a usuario no confiables, o se están
exportando servicios RPC.

Más Información:

Kernel 2.2.16
http://www.kernel.org/pub/linux/kernel/v2.2/

Caldera Advisory: serious bug in setuid()
ftp://ftp.calderasystems.com/pub/OpenLinux/security/CSSA-2000-014.0.txt

SENDMAIL SECURITY TEAM ADVISORY
Sendmail Workaround for Linux Capabilities Bug
http://www.sendmail.org/sendmail.8.10.1.LINUX-SECURITY.txt

Linux Capabilities Vulnerability
http://www.securityfocus.com/vdb/bottom.html?vid=1322


Jesús Cea Avión
[EMAIL PROTECTED]

-
una-al-día es un servicio de Hispasec (http://www.hispasec.com)

-
  (c) 2000 Hispasec. http://www.hispasec.com/copyright.asp
--- End Message ---

Re: [noticias@hispasec.com: una-al-dia (8/06/2000

Re: [noticias@hispasec.com: una-al-dia (8/06/2000

Re: [noticias@hispasec.com: una-al-dia (8/06/2000

Re: [noticias@hispasec.com: una-al-dia (8/06/2000

Re: [noticias@hispasec.com: una-al-dia (8/06/2000

Re: [noticias@hispasec.com: una-al-dia (8/06/2000

[noticias@hispasec.com: una-al-dia (8/06/2000) Actualización urgente a Linux 2.2.16]

7 matches

Site Navigation

Mail list logo

Footer information