Senaste nytt / Debians projektnyheter / 2001 / 14 mars

Debian Weekly News - 14 mars 2001

Välkommen till Debian Weekly News, ett nyhetsbrev för Debianfolk.

Under flera år har vi vetat att Debians sätt att publicera paket och utgåvor saknar en del vad gäller säkerhet. Det har inte funnits något sätt att veta om paketet du just hämtade verkligen tillverkats av en Debianutvecklare och faktiskt är en del av den aktuella Debianutgåvan. Detta håller fort på att ändras, och inom kort kommer användarna ha två olika sätt att verifiera att de installerar legitima paket. Denna vecka postades en patch till sändlistan debian-dpkg, vilken lägger stöd för att kontrollera signaturer på Debianpaket till dpkg. Signaturen läggs i en ny sektion av själva paketet, och verktyg är nu på väg in i Debian för att lägga till och kontrollera sådana signaturer. Denna typ av underteckning av paket motsvarar liknande tekniker som funnits i rpm-världen under lång tid, och den är ett välkommet tillägg till dpkg, men dess användbarhet skall inte överdrivas.

Undertecknade paket i sig självt lämnar fortfarande flera attackmöjligheter öppna. Olika ondsinta saker kan göras med Packages-filen, eller genom att lura apt att hämta ett gammalt och osäkert paket. För att stänga möjligheten till dessa attacker krävs ytterligare ett lager säkerhet – undertecknade utgåvor. Redan nu börjar Release.gpg-filer dyka upp i arkivet, och apt kommer inom kort få möjlighet att verifiera dessa signaturer när det uppgraderar ett Debiansystem. Till syvende och sist så är det ingen av dessa metoder som garanterar absolut säkerhet, men de kommer att göra attacker mycket svårare för de skumma typerna, och när det är dags att släppa woody kanske både sorternas signaturer är allmänt tillgängliga.

Förberedelser är igång för en uppgradering av stable, Debian version 2.2r3. Som de flesta underutgåvor är paket med säkerhets- och licensproblem eller väldigt allvarliga fel kandidater för att bli uppdaterade i denna utgåva. Det kan även komma att inkludera uppdateringar för att göra den kompatibel med version 2.4 av kärnan, eftersom de allra mest nödvändiga paketen redan har anpassats. Martin Schulze samordnar den nya utgåvan och hans lista över paket som kommer att komma med finns att tillgå på webben.

DPL-valet är igång, efter några tjuvstarter. Utvecklarna kan hämta en röstsedel och sända in, gpg-signerad. Omröstningen avslutas den 28:e.

Ytterligare en ”bug squash”-fest planeras för detta veckoslut. Nära 350 kritiska fel kvarstår sedan senaste festen, och de måste alla rättas innan woody släpps, så alla som har tid över i veckoslutet uppmanas hjälpa till med att rätta ett fel eller två.

Vissa veckor finns det inget slut på säkerhetsrättelserna i Debian. Detta är en sådan vecka. Några av dessa kungörelser är för problem som faktiskt rättats tidigare, men inte tillkännagivits, men många är helt nya säkerhetsrättelser.

• Flera mindre fel i stable-versionen av proftpd kunde leda till mindre säkerhetsproblem.
• Ett buffertspill som kunde utnyttjas utifrån via CGI-gränssnittet i analog.
• Flera buffertspill i ePerl upptäcktes. De kunde leda till att man utifrån kunde uppnå root-behörighet i vissa konfigurationer.
• En fjärröverbelastningsattack hittades i man2html – den kunde fås att konsumera allt minne.
• Ett lokalt säkerhetshål i midnight commander.
• Alla xaw-ersättningsbiblioteken (nextaw, xaw3d, and xaw95) uppdaterades för att rätta några säkerhetshål som tidigare hittades och rättades i xaw självt.
• Ett säkerhetshål relaterat till temporärfiler rättades i sgml-tools.
• Två säkerhetshål i stables version av glibc, båda med möjligheter att få rootbehörighet, rättades. (Observera att rättelsen gjorde att ldd slutade fungera på suid-binärer, så en uppdatering kommer troligen släppas för att rätta det i framtiden.)
• Ett fjärråtkomligt buffertspill i stables slrn.
• Joe läste .joerc osäkert från den aktuella katalogen, vilket kunde utnyttjas lokalt om joe kördes i kataloger såsom /tmp/.
• Ett fjärråtkomligt buffertspill i gnuserv och xemacs.
• Flera fjärrattacker i Zope.
• Ett buffertspill i mailx som lokalt kunde ge tillgång till mailgruppen.

Säkerhetsgruppen förtjänar tack för allt sitt hårda arbete under veckan.

För att få det här nyhetsbrevet tillsänt dig per e-post varje vecka, prenumerera på sändlistan debian-news.

Tidigare utgåvor av nyhetsbrevet finns att tillgå.

Detta nummer av Debian Weekly News redigerades av Joey Hess.
Det översattes av Peter Karlsson.