* SECURITY UPDATE: denial of service via long apt URL
- check URL for length and shorten it for error dialog in
AptUrl/AptUrl.py, AptUrl/Parser.py, tests/apturlparse.py.
- Patch thanks to Micheal Vogt
- CVE number pending
Linux apt-korjaus 24 tunnissa
8
106
Vastaukset
- kuvakaappaus
Näyttää kylläkin olevan Ubuntu apt-korjaus tuo...
- Urlittaja
>>Näyttää kylläkin olevan Ubuntu apt-korjaus tuo... >>
Mihinkäs sinä sen olisit itse tehnyt? Kyseessähän oli nimenomaan korjaus apturl-common:iin:
http://www.linuxsecurity.com/content/view/155079?rdf Eivät kaikki Linuxia ytimenään käyttävät käyttöjärjestelmät alunperinkään olleet haavoittuvia tuon apusovelluksen vialle ja tämä mystinen "Linux" saa korjauksensa ainoastaan kernel.orgin kautta. Linuxin kernelissähän vika ei ollut...
- on teillä jutut
Hyvin usea linux jakelu käyttää aptia ja tätä koski tuo haavoittuvuus. On helpompi otsikoida Linux kuin luetella 20 jakelua. :D
- Debbian
Onko ketään jolla tuo haavoittuvaisuus edes teki mitään ennen kuin se paikattiin? Nuo apt-urlit eivät täällä toimineet muutenkaan.
- debian 6
Mikä on protokolla apt://
http://wiki.debian.org/AptProtocol
~ mahdollistaa *.deb pakujen asennuksen suoraan linkistä selaimen ( iceweasel, firefox, galeon tai konqueror ) kautta
Mitä vaatii toimiakseen protokolla apt://
- vaatii toimiakseen lisäasennuksen (aptlinex TAI apturl)
a) aptlinex (löytyy debianin pakettilähteistä)
http://wiki.debian.org/AptProtocol#Aptlinex
b) apturl (ei löydy debianin pakettilähteistä !!! )
http://wiki.debian.org/AptProtocol#Apturl
Huomaa tietoturvavaroitus:
"Some people consider that those product make it too easy to install a package (and therefore they have security concerns)." - readme.txt
debian 6 kirjoitti:
Mikä on protokolla apt://
http://wiki.debian.org/AptProtocol
~ mahdollistaa *.deb pakujen asennuksen suoraan linkistä selaimen ( iceweasel, firefox, galeon tai konqueror ) kautta
Mitä vaatii toimiakseen protokolla apt://
- vaatii toimiakseen lisäasennuksen (aptlinex TAI apturl)
a) aptlinex (löytyy debianin pakettilähteistä)
http://wiki.debian.org/AptProtocol#Aptlinex
b) apturl (ei löydy debianin pakettilähteistä !!! )
http://wiki.debian.org/AptProtocol#Apturl
Huomaa tietoturvavaroitus:
"Some people consider that those product make it too easy to install a package (and therefore they have security concerns).""Some people consider that those product make it too easy to install a package (and therefore they have security concerns)."
Tuo on aivan totta ja varmasti aiheuttaa ongelmia nk. peruskäyttäjällä jos siirtyy kokonaan esim. synaptic pakettimanagerin käytöstä pois.
Firefox on kuitenkin monelle se ainoa sovellus joka avataan koneelle, jos sitä ei löydy todetaan että sun koneelle ei oo asennettu facebookkia...
Hieman kehittyneemmät käyttää jo pasianssia ja tekstinkäsittelyä, näin se vaan on ja näin se saa ollakkin. Ei kaikkien tarvitsekkaan tietää kaikkea, riittää kun kirvesmies osaa sähköpostinsa lukea ja laskunsa maksaa...
Onnistuuko tuolla myös Ok/Peruuta dialogin kanssa allkirjoittamattomien pakettien asennus tai allekirjoitettujen asennus ilman aptiin lisättyä julkista avaina?
Parempi olisi oppia asentamaan jo olemassaolevista lähteistä... tuo on liian helppoa ja se tietoturvariski muodostuu tässä juurikin keskivertokäyttäjän tiedoista. GNU / Linux ei ole tässä mielessä tavalliselle käyttäjälle yhtään Windossia turvallisempi jos haittaohjelmien asennus on yhtä helppoa kuin mikrosoftilla.
Nämä helpoiksi tarkoitetut distrot pitäisi kehittää niin että ne ovat myös automaagisesti turvallisia eli vaaditaan hieman tietoa ennekuin saa epäluotettavista lähteistä softaa latailla.
Gentoo on paras :p taatusti turvallinen jos niin haluaa :) --- no ei nyt kuitenkaan tapella siitä mikä on paras :D
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Ukrainan ulkoministeri: Moskova aistii tappion Ukrainassa
Dmytro Kuleban mukaan Venäjä yrittää puheillaan pelotella länsimaita. Ukrainan ulkoministerin Dmytro Kuleban mukaan Venäjän esittämät varoitukset kol2614167Stefu haikailee
Julkaisi stooreissa kuvan vickestä. Sitten Martinasta treenaamassa Hangossa ulkona. Hmm.2643403Harmi mies ettet arvostanut
Minua tarpeeksi. Myöhemmin kaikki olisi palkittu ja olisin antanut sinulle aitoa rakkautta. Tämä sattuu mutta yritän ajatella, että ehkä se rakkaus ku1541775Oi! Legandaarinen Vesa-Matti "Vesku" Loiri, 77, poseeraa kahdessa eri kuvassa - Some riemastui!
Vesa-Matti "Vesku" Loiri on kyllä legenda jo eläessään. Hienoa nähdä, että virtaa piisaa. Voimia, iloa ja eloa, Vesku! https://www.suomi24.fi/viihde251633Lavrov väläyttelee WW3:sta
Venäjän ulkoministeri Sergei Lavrov varoittaa, että kolmannen maailmansodan uhka on todellinen. Lavrov sanoi venäläiselle uutistoimisto Interfaxille,2961412Ketä Sofia fanit veikkaatte seuraavaksi lompakoksi?
Kenestä Sofia höynäyttää itselleen seuraavan lompakon?132915Voiko hyvää omatuntoa ostaa?
Olen tässä nyt muutaman päivän paininut erään rahaan liittyvän pulman kanssa. Kerron ensin vähän taustaa ... Eli erosin 15 vuoden parisuhteesta 9 vuo235852en vaan saa häntä pois
Mielestäni pyörimästä. Onko kellekään toiselle käynyt näin? Ihastuin pakkomielteisesti noin vuosi sitten erääseen naiseen. Ei vaan katoa mielestä va115813Suomi24 kysely: ihmisten kuplautumista ei pääosin koeta vakavaksi ongelmaksi
“Kuplautumista on mahdotonta estää. Ihmiset ovat aina viihtyneet samankaltaiset arvot ja maailmankatsomuksen jakavassa seurassa ja muodostaneet sen pe17778