http://security.freebsd.org/advisories/ ... 7.libc.asc
http://security.freebsd.org/advisories/ ... penssl.asc
Kurze Zusammenfassung: OpenSSL ist anfällig für einen Buffer Overflow. In Zusammenspiel mit gegen OpenSSL gelinkten Netzwerk-Daemons (OpenSSH, Apache, ...) ist die Schwäche remote ausnutzbar. Die zweite Lücke betrifft die Berkeley DB API des Basis-Systems. Diese wird u. a. für die Passwort-DB des Systems verwendet (für nicht-BSDler: anders als bei Linux hasht FreeBSD seine /etc/passwd zu einem Berkeley DB File). Böse Menschen könnten es ausnutzen, dass auf diesem Wege z. B. Login Credentials aus der DB leaken (wenn auch nicht in Plaintext, sondern gehasht).
Für alle unterstützen Zweige sind seit heute Patches verfügbar, also ran an freebsd-update oder csup.
2 Lücken im FreeBSD Basis-System: Update dringend empfohlen!
2 Lücken im FreeBSD Basis-System: Update dringend empfohlen!
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time