5 aggiornamenti di sicurezza importanti per Ubuntu 13.10 "Saucy Salamander": Crash per il debug, Interfaccia GTK+, Dipendenze X11, Evolution Data Server e Archive Manager per Gnome.

Sappiamo tutti quanto sia importante mantenere aggiornato il proprio sistema operativo, ma è parimenti esperienza comune che spesso siano proprio gli aggiornamenti a introdurre nuovi bug. 
Ubuntu segue delle linee guida ben precise per gestire questa situazione.

La chiave di volta dell’intero discorso è che, una volta rilasciata la release, gli aggiornamenti non si fanno affatto, a meno che non riguardino vulnerabilità di sicurezza o bug particolarmente significativi.

Addirittura, nell’ottica di stabilizzare la release, già durante le ultime fasi di sviluppo l’ingresso di nuovi pacchetti dei vari software è sottoposto ad un controllo particolarmente rigido (una fase nota agli sviluppatori come “Feature Freeze”, appunto).

Gli aggiornamenti proposti a continuazione fanno parte del bollettino di sicurezza settimanale rilasciato da Canonical e riguardano in particolare i primi aggiornamenti importanti sulla sicurezza riguardanti la neonata Ubuntu 13.10 Saucy Salamander

    gtk-2-runtime-environment-3

1.- Genera automaticamente segnalazioni di crash per il debug:
Questo pacchetto fornisce anche una interfaccia a riga di comando per la navigazione e la gestione dei rapporti di crash. Per i desktop, si dovrebbe prendere in considerazione l'installazione dell'interfaccia GTK+ o Qt (apport-gtk o apport-kde).
Modifiche per le versioni:
Versione installata: 2.6.1-0ubuntu10
Versione disponibile: 2.6.1-0ubuntu13
Versione 2.6.1-0ubuntu13:
  * SECURITY UPDATE: incorrect permissions on setuid process core dumps
    (LP: #1242435)
    - use correct permissions when writing the core file in data/apport,
      added test to test/test_signal_crashes.py.
    - Thanks to Martin Pitt for the patch!
    - CVE-2013-1067
Versione 2.6.1-0ubuntu12:
  * Enable suid_dumpable (core dumps of setuid binaries). This has
    always been safe for us, as we set a core pipe handler, but the
    kernel now protects against one not being set:
    http://kernel.ubuntu.com/git?p=ubuntu/ubuntu-
    raring.git;a=blob;f=Documentation/sysctl/fs.txt;h=88152f214f48cb69c6
    43d4bf2ff2ac9a61ad2eb0;hb=HEAD (LP: #1194541).
Versione 2.6.1-0ubuntu11:
  * data/general-hooks/ubuntu.py: For package installation failures, build a
    DuplicateSignature from the package, version, and dpkg ErrorMessage,
    instead of using the whole dpkg terminal log. (LP: #1185515)

2.- Interfaccia GTK+ per il sistema di gestione dei crash Apport:
Questo pacchetto fornisce un'interfaccia GTK+ per consultare e gestire i rapporti dei crash.
Modifiche per le versioni:
Versione installata: 2.6.1-0ubuntu10
Versione disponibile: 2.6.1-0ubuntu13
Versione 2.6.1-0ubuntu13:
  * SECURITY UPDATE: incorrect permissions on setuid process core dumps
    (LP: #1242435)
    - use correct permissions when writing the core file in data/apport,
      added test to test/test_signal_crashes.py.
    - Thanks to Martin Pitt for the patch!
    - CVE-2013-1067
Versione 2.6.1-0ubuntu12:
  * Enable suid_dumpable (core dumps of setuid binaries). This has
    always been safe for us, as we set a core pipe handler, but the
    kernel now protects against one not being set:
    http://kernel.ubuntu.com/git?p=ubuntu/ubuntu-
    raring.git;a=blob;f=Documentation/sysctl/fs.txt;h=88152f214f48cb69c6
    43d4bf2ff2ac9a61ad2eb0;hb=HEAD (LP: #1194541).
Versione 2.6.1-0ubuntu11:
  * data/general-hooks/ubuntu.py: For package installation failures, build a
    DuplicateSignature from the package, version, and dpkg ErrorMessage,
    instead of using the whole dpkg terminal log. (LP: #1185515)

3.- Semplice sistema di comunicazione tra i processi (dipendenze X11):
Questo pacchetto contiene l'utilità dbus-launch necessaria per i pacchetti che utilizzando un bus di sessione D-Bus.
See the dbus description for more information about D-Bus in general.

Modifiche per le versioni:
Versione installata: 1.6.4-1ubuntu4
Versione disponibile: 1.6.4-1ubuntu4.1
Versione 1.6.4-1ubuntu4.1:
  * SECURITY UPDATE: denial of service via _dbus_printf_string_upper_bound()
    length.
    - debian/patches/CVE-2013-2168.patch: use a copy of va_list in
      dbus/dbus-sysdeps-unix.c, dbus/dbus-sysdeps-win.c, added test to
      test/Makefile.am, test/internals/printf.c.
    - CVE-2013-2168


4.- File indipendenti dall'architettura per Evolution Data Server:
Il server dei dati, chiamato "Evolution Data Server" è responsabile della gestione delle informazioni su calendario e rubrica.
Questo pacchetto contiene i file indipendenti dall'architettura necessari al pacchetto evolution-data-server.
Modifiche per le versioni:
Versione installata: 3.6.2-0ubuntu0.1
Versione disponibile: 3.6.4-0ubuntu0.1
Versione 3.6.4-0ubuntu0.1:
  * New upstream release. (LP: #1158354)
    - Crash in Contacts calendar backend (LP: #1039594)
    - Empty name selector dialog on open (LP: #1072442)

5.-  Archive Manager per Gnome:
File-roller is an archive manager for the GNOME environment. It allows you to:
* Create and modify archives.
* View the content of an archive.
* View a file contained in an archive.
* Extract files from the archive. File-roller supports the following formats:
* Tar (.tar) archives, including those compressed with
gzip (.tar.gz, .tgz), bzip (.tar.bz, .tbz), bzip2 (.tar.bz2, .tbz2),
compress (.tar.Z, .taz), lzip (.tar.lz, .tlz), lzop (.tar.lzo, .tzo),
lzma (.tar.lzma) and xz (.tar.xz)
* Zip archives (.zip)
* Jar archives (.jar, .ear, .war)
* 7z archives (.7z)
* iso9660 CD images (.iso)
* Lha archives (.lzh)
* Single files compressed with gzip (.gz), bzip (.bz), bzip2 (.bz2),
compress (.Z), lzip (.lz), lzop (.lzo), lzma (.lzma) and xz (.xz) File-roller doesn't perform archive operations by itself, but relies on standard tools for this.
Modifiche per le versioni:
Versione installata: 3.6.1.1-0ubuntu1.1
Versione disponibile: 3.6.1.1-0ubuntu1.2
Versione 3.6.1.1-0ubuntu1.2:
  * SECURITY UPDATE: file overwrite via incorrect path sanitization
    - debian/patches/CVE-2013-4668.patch: properly sanitize filenames in
      src/fr-archive-libarchive.c, src/fr-window.c, src/glib-utils.c,
      src/glib-utils.h.
    - CVE-2013-4668

Se ti è piaciuto l'articolo , iscriviti al feed cliccando sull'immagine sottostante per tenerti sempre aggiornato sui nuovi contenuti del blog:
reeder


Luca Soraci

Luca Soraci

Ubuntu giunge alle nostre orecchie solo perché è stato mutuato come nome per un sistema operativo di successo; lo abbiamo sentito nei discorsi di Mandela, del vescovo Tutu, ed è uno dei concetti fondanti di quel movimento di rinascimento che vuole far fiorire il continente africano al di sopra delle difficoltà attuali.

Nessun commento:

Posta un commento

Powered by Blogger.