2 Lücken im FreeBSD Basis-System: Update dringend empfohlen!
Posted: 2009-04-22 18:33
http://security.freebsd.org/advisories/ ... 7.libc.asc
http://security.freebsd.org/advisories/ ... penssl.asc
Kurze Zusammenfassung: OpenSSL ist anfällig für einen Buffer Overflow. In Zusammenspiel mit gegen OpenSSL gelinkten Netzwerk-Daemons (OpenSSH, Apache, ...) ist die Schwäche remote ausnutzbar. Die zweite Lücke betrifft die Berkeley DB API des Basis-Systems. Diese wird u. a. für die Passwort-DB des Systems verwendet (für nicht-BSDler: anders als bei Linux hasht FreeBSD seine /etc/passwd zu einem Berkeley DB File). Böse Menschen könnten es ausnutzen, dass auf diesem Wege z. B. Login Credentials aus der DB leaken (wenn auch nicht in Plaintext, sondern gehasht).
Für alle unterstützen Zweige sind seit heute Patches verfügbar, also ran an freebsd-update oder csup.
http://security.freebsd.org/advisories/ ... penssl.asc
Kurze Zusammenfassung: OpenSSL ist anfällig für einen Buffer Overflow. In Zusammenspiel mit gegen OpenSSL gelinkten Netzwerk-Daemons (OpenSSH, Apache, ...) ist die Schwäche remote ausnutzbar. Die zweite Lücke betrifft die Berkeley DB API des Basis-Systems. Diese wird u. a. für die Passwort-DB des Systems verwendet (für nicht-BSDler: anders als bei Linux hasht FreeBSD seine /etc/passwd zu einem Berkeley DB File). Böse Menschen könnten es ausnutzen, dass auf diesem Wege z. B. Login Credentials aus der DB leaken (wenn auch nicht in Plaintext, sondern gehasht).
Für alle unterstützen Zweige sind seit heute Patches verfügbar, also ran an freebsd-update oder csup.