Beveiligingslekken Ubuntu (opgelost)

[MichelP]

Ik snap niks van dit verhaal en vraag me af of dit ernstig is.

Ubuntu heeft een belangrijke update uitgebracht die 22 beveiligingslekken verhelpt, waardoor aanvallers onder andere willekeurige code op het systeem konden uitvoeren. De kwetsbaarheden bevinden zich in de Webkit browser die het open source besturingssysteem gebruikt. Als een gebruiker een kwaadaardige pagina zou bekijken, zou een aanvaller cross-site scripting-aanvallen, denial of service-aanvallen en willekeurige code kunnen uitvoeren. De lekken zijn aanwezig in Ubuntu 10.10 en Ubuntu 10.04 LTS.

Naast deze lekken is ook een kwetsbaarheid in ecryptfs-utils verholpen, het cryptografische bestandssysteem. Een aanvaller zou eCryptfs kunnen gebruiken om willekeurige locaties te unmounten en zo een denial of service te veroorzaken. Dit probleem is aanwezig in Ubuntu 11.04, 10.10 en 10.04 LTS.

http://www.security.nl/artikel/38249/1/Ubuntu_dicht_22_beveiligingslekken.html

[Tom]

ecryptfs-utils < die bv heb ik voor gisteren al gehad.
Sec.nl loopt altijd een weinig achter ,dus maak u geen zorgen als ze sec updates hebben geven ze die ook.

[Vistaus]

Webikit-browser? Waar hebben zij het nu weer over? Firefox gebruikt helemaal geen Webkit maar Gecko.

[asphyxia]

LOL, de webkit browser. Uiteraard kunt u geen enkele andere gebruiken  

Gisteren stond die update er al op. De inktzwarte dag kon zo gelukkig verder vervlieden tot een toch harmonieus geheel. De snode plannen werden verder afgewend door luidruchtig roepen 'Zwieber, niet stelen!'

Even wat serieuzer: natuurlijk worden ook in open source lekken aangetroffen, en ook opgelost. De updates regelmatig bijhouden, en er niet op vertrouwen dat je 'nooit wat zal overkomen', want dat is zelden zo    
 

[DarkEra]

Webikit-browser? Waar hebben zij het nu weer over? Firefox gebruikt helemaal geen Webkit maar Gecko.

Verder kijken en Lezen, al hadden ze het anders moeten formuleren bij security NL:

After a standard system update you need to restart any applications that
use WebKit, such as Epiphany and Midori, to make all the necessary changes.

http://www.ubuntu.com/usn/usn-1195-1/

[MichelP]

Sorry helemaal vergeten dit topic af te ronden, was een tijdje van linux af.
Ik stream via ustream producer en wil niet lukken met linux, vraag het wel een keer.
Dus bedankt als nog voor de uitleg.

[Soul-Sing]

pidgin heeft twee security lekken. nog niet gepatched van Ubuntu. via ppa verholpen.
: http://www.pidgin.im/

[Pjotr]

pidgin heeft twee security lekken. nog niet gepatched van Ubuntu. via ppa verholpen.
: http://www.pidgin.im/

Ben niet zo voor PPA's.... dan zou ik eerder de ontwikkelaars eens flink achter de broek gaan zitten, om de stabiele versie bij te werken. 

[Soul-Sing]

pidgin heeft twee security lekken. nog niet gepatched van Ubuntu. via ppa verholpen.
: http://www.pidgin.im/

Ben niet zo voor PPA's.... dan zou ik eerder de ontwikkelaars eens flink achter de broek gaan zitten, om de stabiele versie bij te werken.  

daarna zet ik de PPA gewoon "uit". verder beveelt pidgin die PPA gewoon aan om te updaten.

[Vistaus]

Klopt. Het is wel een PPA die de ontwikkelaars zelf testen. Daarbij is Pidgin niet meer standaard geinstalleerd, dus het is een minder groot risico omdat je geen standaardprogramma vervangt.

@Pjotr: Hebben we ook gedaan op Launchpad bij Empathy en KMess. Empathy werd dan uiteindelijk gepatched na 1 maand en KMess is nog steeds niet gepatched. En Empathy is dan nog standaard geinstalleerd ook. Dus als dat al lang duurt, dan vraag ik me af waarom Pidgin wel snel gepatched zou worden.
Die PPA wordt gewoon getest door de Pidgin-ontwikkelaars (de meeste van hun gebruiken Ubuntu) en er komen alleen stabiele versies in die PPA. Dus stabiel+goed getest=op zijn minst 99% betrouwbaar.

[Tom]

Lees dit net en vind het een foute boel.
Als die lekken gedicht zijn dan moeten die Personen die daarvoor verantwoordelijk zijn die patch ook onmiddellijk update (uitbrengen).
En niet beginnen met te zeggen pak maar een PPA of dergelijke ,daar is een normale gebruiker niks mee.
En als ze geen zin daar in hebben moeten ze maar een andere job zoeken ,zo zie ik dat wat de security updates betreft.

[Vistaus]

PPA, daar is een normale gebruikers niks mee? Ik denk dat een normale gebruiker niet eens weet dat er lekken inzitten/zaten, die houdt zich alleen maar bezig met het gebruiken van Pidgin namelijk.

[Soul-Sing]

Lees dit net en vind het een foute boel.
Als die lekken gedicht zijn dan moeten die Personen die daarvoor verantwoordelijk zijn die patch ook onmiddellijk update (uitbrengen).
En niet beginnen met te zeggen pak maar een PPA of dergelijke ,daar is een normale gebruiker niks mee.
En als ze geen zin daar in hebben moeten ze maar een andere job zoeken ,zo zie ik dat wat de security updates betreft.

Zeer met je eens. veiligheidsupdates zijn te belangrijk om te laten lopen door Ubuntu, ook al is pidgin niet meer de nr. 1 messenger voor hen blijkbaar....

[Pjotr]

Lees dit net en vind het een foute boel.
Als die lekken gedicht zijn dan moeten die Personen die daarvoor verantwoordelijk zijn die patch ook onmiddellijk update (uitbrengen).
En niet beginnen met te zeggen pak maar een PPA of dergelijke ,daar is een normale gebruiker niks mee.
En als ze geen zin daar in hebben moeten ze maar een andere job zoeken ,zo zie ik dat wat de security updates betreft.

Zeer met je eens. veiligheidsupdates zijn te belangrijk om te laten lopen door Ubuntu, ook al is pidgin niet meer de nr. 1 messenger voor hen blijkbaar....

Helemaal mee eens, ja.... En Pidgin zit nog wel in Main, en niet eens in Universe of zo.

Ik gebruik zelf geen Pidgin, maar als ik dat soort dingen tegenkom bij pakketten die ik wel gebruik (gelukkig zelden), dan hebben de verantwoordelijke pakketbronbeheerders aan mij geen makkelijke. Uiteraard blijf ik dan beleefd, maar ik laat niet los.

[Vistaus]

Laat ze ook maar KMess enzo eens updaten dan. E17 ook, Epiphany in 11.10 ook. Ja, zo kunnen we een hele lange lijst maken met dingen die nu zonder de laatste beveilingspatches in de repo's zitten.

[Pjotr]

Laat ze ook maar KMess enzo eens updaten dan. E17 ook, Epiphany in 11.10 ook. Ja, zo kunnen we een hele lange lijst maken met dingen die nu zonder de laatste beveilingspatches in de repo's zitten.

Nou, doe er wat aan dan, zou ik zeggen, als jij die pakketten zelf gebruikt.

Zit de pakketbeheerders achter de vodden. Voer actie. Bombardeer ze met (ondersteuning van) foutmeldingen op Launchpad. Zoek uit waar ze rondhangen op IRC, en spreek ze daar aan. Stuur ze e-mails. Meld het probleem op meerdere fora, waaronder het Engelstalige Ubuntuforum. Rapporteer het aan "hogerhand". Zoek medestanders die aan de actie mee willen doen. Enzovoorts.

[Vistaus]

Zal ik meteen gaan doen. Kun jij dat ondertussen ook doen voor Pidgin, misschien voeren ze het dan wel allemaal tegelijk door.

[Pjotr]

Zal ik meteen gaan doen. Kun jij dat ondertussen ook doen voor Pidgin, misschien voeren ze het dan wel allemaal tegelijk door.

Dat doe ik alleen voor pakketten die ik zelf gebruik, en die ik de moeite van de energie waard vind. Pidgin gebruik ik niet.