Dla Debiana w poniedziałek ukazały się aktualizacje bezpieczeństwa do popularnych pakietów. Aktualizacje bezpieczeństwa dotyczą tomcat’a, openjdk, openssl oraz python-django.
Dla tomcata aktualizacja dotyczyła między innymi:
– naprawy błędu w którym okazało się, że SecurityManager w niewystarczający sposób zabezpieczał robocze katalogi,
– naprawy błędu w interfejsie managera HTML, w którym wykryto podatność na atak XSS (cross-site scripting),
– naprawy błędu w którym konektor NIO w niewystarczający sposób sprawdzał poprawność nagłówków HTTP co może doprowadzić do DoS (Denial of Service).

Oldstable dystrybucja Lenny jest odporna na te problemy. W dystrybucji stabilnej Squeeze zalecana jest aktualizacja pakietu do wersji 6.0.28-9+squezze1, gdzie w/w problemy zostały usunięte. Dla dystrybucji niestabilnej Sid problemy zostały rozwiązane w pakiecie 6.0.28.10. Zalecane są aktualizacje pakietu tomcat6.

Źródło: http://lists.debian.org/debian-security-announce/2011/msg00025.html

W pakiecie openjdk wykryto, że parser zmiennoprzecinkowy, implementacja platformy Java, przy otrzymaniu określonego ciągu znaków, może się zapętlić przy ich przetwarzaniu. Ciąg znaków może się składać z określonych liczb, które mogą być zawarte w danych przesyłanych przez atakującego co może doprowadzić do ataku typu DoS (Denial of Service).
Dla oldstable dystrybucji Lenny opisany problem został rozwiązany w pakiecie 6b18-1.8.3-2~lenny1. Z przyczyn technicznych ta aktualizacja zostanie wydana osobno.
Dla stabilnej dystrybucji Squeeze problem został rozwiązany w pakiecie 6b18-1.8.3-2+squeeze1.
W dystrybucji testing (Wheezy) oraz niestabilnej (Sid) problem zostanie wkrótce naprawiony.
Zalecana jest aktualizacja pakietów openjdk-6

Źródło: http://lists.debian.org/debian-security-announce/2011/msg00026.html

Dla pakietu OpenSSL wykryto, że niepoprawnie sformatowana wiadomość handshake ClientHello może powodować, że OpenSSL będzie w przeszłości analizował koniec wiadomości. Pozwala to atakującemu doprowadzić do zawieszenia aplikacji poprzez wywołanie niepoprawnego dostępu do pamięci.
Pakiety zawarte w dystrybucji oldstable Lenny są odporne na w/w problem.
Dla dystrybucji stabilnej Squeeze problem został usunięty w wersji 0.9.8o-4squeeze1.
Dla dystrybucji testing Wheezy problem został usunięty w wersji 0.9.8o-5.
Dla dystrybucji niestabilnej Sid problem został usunięty w wersji 0.9.8o-5.

Zalecana jest aktualizacja pakietów.

Źródło: http://lists.debian.org/debian-security-announce/2011/msg00027.html

W frameworku django wykryto kilka problemów bezpieczeństwa:
– z kilku powodów wewnętrzny mechanizm bezpieczeństwa CSRF nie został wdrożony aby sprawdzać poprawność zapytań ajax. Aczkolwiek wykryto, że ten wyjątek może być exploitowany poprzez kombinację wtyczek zawartych w przeglądarce jak również przekierowań.
– wykryto również, że upload plików jest podany na atak XSS (cross-site scripting) poprzez spreparowaną nazwę uploadowanego pliku.

Uwagę należy zwrócić, że aktualizacja wprowadza drobne wsteczne niezgodności ze względu na w/w poprawki.
Szczegóły tych problemów: http://docs.djangoproject.com/en/1.2/releases/1.2.5/. Sekcja „Backwards incompatible changes”.

Pakiety zawarte w dystrybucji oldstable Lenny nie są podatne na w/w problemy.
W stabilnej dystrybucji Squeeze w/w problemy zostały usunięte w wersji 1.2.3-3+squeeze1.
Dla dystrybucji testing Wheezy w/w problemy zostaną wkrótce usunięte.
Dla niestabilnej dystrybucji Sid w/w problemy zostały usunięte w wersji 1.2.5-1.

Zalecane jest wykonanie aktualizacji pakietów.

Źródło: http://lists.debian.org/debian-security-announce/2011/msg00028.html