* SECURITY UPDATE: denial of service via long apt URL
- check URL for length and shorten it for error dialog in
AptUrl/AptUrl.py, AptUrl/Parser.py, tests/apturlparse.py.
- Patch thanks to Micheal Vogt
- CVE number pending
Linux apt-korjaus 24 tunnissa
voi voi
8
108
Vastaukset
- kuvakaappaus
Näyttää kylläkin olevan Ubuntu apt-korjaus tuo...
- Urlittaja
>>Näyttää kylläkin olevan Ubuntu apt-korjaus tuo... >>
Mihinkäs sinä sen olisit itse tehnyt? Kyseessähän oli nimenomaan korjaus apturl-common:iin:
http://www.linuxsecurity.com/content/view/155079?rdf Eivät kaikki Linuxia ytimenään käyttävät käyttöjärjestelmät alunperinkään olleet haavoittuvia tuon apusovelluksen vialle ja tämä mystinen "Linux" saa korjauksensa ainoastaan kernel.orgin kautta. Linuxin kernelissähän vika ei ollut...
- on teillä jutut
Hyvin usea linux jakelu käyttää aptia ja tätä koski tuo haavoittuvuus. On helpompi otsikoida Linux kuin luetella 20 jakelua. :D
- Debbian
Onko ketään jolla tuo haavoittuvaisuus edes teki mitään ennen kuin se paikattiin? Nuo apt-urlit eivät täällä toimineet muutenkaan.
- debian 6
Mikä on protokolla apt://
http://wiki.debian.org/AptProtocol
~ mahdollistaa *.deb pakujen asennuksen suoraan linkistä selaimen ( iceweasel, firefox, galeon tai konqueror ) kautta
Mitä vaatii toimiakseen protokolla apt://
- vaatii toimiakseen lisäasennuksen (aptlinex TAI apturl)
a) aptlinex (löytyy debianin pakettilähteistä)
http://wiki.debian.org/AptProtocol#Aptlinex
b) apturl (ei löydy debianin pakettilähteistä !!! )
http://wiki.debian.org/AptProtocol#Apturl
Huomaa tietoturvavaroitus:
"Some people consider that those product make it too easy to install a package (and therefore they have security concerns)." debian 6 kirjoitti:
Mikä on protokolla apt://
http://wiki.debian.org/AptProtocol
~ mahdollistaa *.deb pakujen asennuksen suoraan linkistä selaimen ( iceweasel, firefox, galeon tai konqueror ) kautta
Mitä vaatii toimiakseen protokolla apt://
- vaatii toimiakseen lisäasennuksen (aptlinex TAI apturl)
a) aptlinex (löytyy debianin pakettilähteistä)
http://wiki.debian.org/AptProtocol#Aptlinex
b) apturl (ei löydy debianin pakettilähteistä !!! )
http://wiki.debian.org/AptProtocol#Apturl
Huomaa tietoturvavaroitus:
"Some people consider that those product make it too easy to install a package (and therefore they have security concerns).""Some people consider that those product make it too easy to install a package (and therefore they have security concerns)."
Tuo on aivan totta ja varmasti aiheuttaa ongelmia nk. peruskäyttäjällä jos siirtyy kokonaan esim. synaptic pakettimanagerin käytöstä pois.
Firefox on kuitenkin monelle se ainoa sovellus joka avataan koneelle, jos sitä ei löydy todetaan että sun koneelle ei oo asennettu facebookkia...
Hieman kehittyneemmät käyttää jo pasianssia ja tekstinkäsittelyä, näin se vaan on ja näin se saa ollakkin. Ei kaikkien tarvitsekkaan tietää kaikkea, riittää kun kirvesmies osaa sähköpostinsa lukea ja laskunsa maksaa...
Onnistuuko tuolla myös Ok/Peruuta dialogin kanssa allkirjoittamattomien pakettien asennus tai allekirjoitettujen asennus ilman aptiin lisättyä julkista avaina?
Parempi olisi oppia asentamaan jo olemassaolevista lähteistä... tuo on liian helppoa ja se tietoturvariski muodostuu tässä juurikin keskivertokäyttäjän tiedoista. GNU / Linux ei ole tässä mielessä tavalliselle käyttäjälle yhtään Windossia turvallisempi jos haittaohjelmien asennus on yhtä helppoa kuin mikrosoftilla.
Nämä helpoiksi tarkoitetut distrot pitäisi kehittää niin että ne ovat myös automaagisesti turvallisia eli vaaditaan hieman tietoa ennekuin saa epäluotettavista lähteistä softaa latailla.
Gentoo on paras :p taatusti turvallinen jos niin haluaa :) --- no ei nyt kuitenkaan tapella siitä mikä on paras :D
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Eroa Orpo! Orpo eroa!
Suomen kansa vaatii viimein ottamaan meidät huomioon, eikä vain ulkomaalaisia pääomasijoittajia. Koska täällä Suomessa872656Odottavan aika on pitkä, Lindtmanin hallitusta tule jo!
Eilisen perusteella nykyinen hallitus epäonnistui kaikissa vaalilupauksissaan, joten olemme ansainneet uudet eduskuntava621714SDP esti Suomen luisumisen kohti 1984 Orwell -yhteiskuntaa
Äärioikeistohallitus olisi halunnut Stasin tapaan mikrofonit jokaisen kansalaisen kotiin, mutta SDP esti tuon siirtymän101686Naiset ei halua kilttejä miehiä
Näin se vaan on..jos olet ilman tatskoja, et rähjää, sinulla ei ole rikosrekisteriä, olet liian kiltti, et sano pahasti,2631565Wille Rydman (ps) osoitti olevansa kommunisti
Hän toistaa Neuvostoliiton virhettä. Haluaa pitää palveula yllä maksoi mitä maksoi, vaikkei ole maksavia asiakkaita. --81538Seiska: Helmi Loukasmäki paljastaa - Näin Danny ja Helmi tapasivat
Helmi Loukasmäki, 25, ja Ilkka Danny Lipsanen, 83, ovat seurattuja julkkiksia. Mutta tiesitkö, miten he tapasivat? Lue261246Ainoastaan 10 aloitusta ekasivulla yhdeltä henkilöltä
Kovasti on vaivaa, ei oo muuta tekemistä tällä henkilöllä päivisin ja öisin... Taas märehtimistä ja samaa jankutusta.261105Kiinteistökauppoja
Onko totta ettö haapaveden kaupunki on ostanut vanhan kesoilin kiinteistön? Kuulemma siihen muuttaa autokorjaamo vanhan411052RAAMATULLINEN KASTE ON SAPATTI-LAUANTAI, EI SUNNUNTAI
Aihe, josta ehkä on eniten kiistaa kristillisten seurakuntien piirissä, on kysymys oikeasta raamatullisesta pyhäpäivästä4041022Menettämisestä
Ajatteletko, että olet menettänyt mahdollisuutesi häneen? Osaatko sanoa miksi niin tapahtui?811005