Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[beantwortet] Frage zu GLSA und Versionen
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
hank2000
n00b
n00b


Joined: 06 Dec 2003
Posts: 18
Location: Lake of Constance, Germany

PostPosted: Fri Jul 04, 2014 8:19 am    Post subject: [beantwortet] Frage zu GLSA und Versionen Reply with quote

Moin,

Aufruf:
Code:
glsa-check -tv all
bringt unter anderem:

Code:
201312-03 [N] [remote  ] OpenSSL: Multiple Vulnerabilities ( dev-libs/openssl-0.9.8z_p1-r1 dev-libs/openssl-1.0.1h-r1 )

im Detail (Auszug):
Code:
# glsa-check -d 201312-03
             GLSA 201312-03:
OpenSSL: Multiple Vulnerabilities             
============================================================================
Synopsis:          Multiple vulnerabilities have been found in OpenSSL
                   allowing remote attackers to determine private keys or
                   cause a Denial of Service.
Announced on:      December 03, 2013
Last revised on:   December 03, 2013 : 02

Affected package:  dev-libs/openssl
Affected archs:    All
Vulnerable:        <1.0.0j<0.9.8y
Unaffected:        >=~1.0.0j>=~0.9.8y
....


Nun bin ich aber der Meinung daß hier schon 'unaffected' installiert ist:
Code:
# eix dev-libs/openssl
[I] dev-libs/openssl
     Available versions: 
     (0.9.8) 0.9.8y ~0.9.8y-r1 0.9.8z_p1-r1 ~0.9.8z_p1-r2
     (0)    [M]1.0.0j 1.0.0m 1.0.1g ~1.0.1g-r1 1.0.1h-r1 ~1.0.1h-r2 **1.0.2_beta1-r2 **1.0.2_beta1-r3
       {bindist gmp kerberos rfc3779 sse2 static-libs test +tls-heartbeat vanilla zlib ABI_MIPS="n32 n64 o32" ABI_PPC="32 64" ABI_S390="32 64" ABI_X86="32 64 x32"}
     Installed versions:  0.9.8z_p1-r1(0.9.8)(18:56:11 06/24/14)(sse2 zlib -bindist -gmp -kerberos -test) 1.0.1h-r1(09:51:09 06/06/14)(sse2 tls-heartbeat zlib -bindist -gmp -kerberos -rfc3779 -static-libs -test -vanilla)
     Homepage:            http://www.openssl.org/
     Description:         full-strength general purpose cryptography library (including SSL and TLS)


Oder ist 0.9.8z_p1-r1>=~0.9.8y falsch?

Danke für einen hilfreichen Hinweis.

Grüße

H


Last edited by hank2000 on Sat Jul 05, 2014 6:43 pm; edited 1 time in total
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2224
Location: Germany

PostPosted: Fri Jul 04, 2014 6:35 pm    Post subject: Reply with quote

Hi hank2000,

Ja das schaut so aus als seit du auf der sicheren Seite. Ich denke das GLSA Skript hat ein Problem mit 0.9.8... und dem 1.0.0.j. Also für das glsa-check skript ist wohl 0.9.8z kleiner als 1.0.0.j.

Bei mir habe ich 0.9.8 aber komplett deinstalliert. Muss gestehen das ich da aber keine Produktiv-System im Einsatz habe. Bisher hat sich noch kein Programm beschwert.

Servus

Chris
Back to top
View user's profile Send private message
hank2000
n00b
n00b


Joined: 06 Dec 2003
Posts: 18
Location: Lake of Constance, Germany

PostPosted: Sat Jul 05, 2014 10:35 am    Post subject: Reply with quote

Servus Chris,

Danke für Deine Antwort. Zumindest liege ich nicht ganz falsch mit meiner Vermutung dass hier evtl. ein Skriptfehler vorliegt.
Aber ganz kann ich die Ansicht bzgl. des 1-er Vergleichs (noch) nicht teilen. Der glsa taucht erst auf, nachdem von openssl-0.9.8y auf openssl-0.9.8z_p1-r1 aktualisiert wurde. Ich denk es geht nicht um die 1-er Schiene, sondern eher um die 0.9.8-er Schiene. Mal sehen ...

Ich habe nun dazu unter #516422 einen Bugreport eingestellt.

Grüße und schönes WE

Heinrich
Back to top
View user's profile Send private message
hank2000
n00b
n00b


Joined: 06 Dec 2003
Posts: 18
Location: Lake of Constance, Germany

PostPosted: Sat Jul 05, 2014 6:43 pm    Post subject: Reply with quote

So, Frage beantwortet. Es ist kein Fehler des Tools, mehr eine Unschärfe im Format. Das aktuelle GLSA-Format unterstützt keine Slots. Gibt es neuere untere Slots, müssten diese manuell ins glsa eingepflegt werden. Es wird offenbar an einer Lösung gearbeitet.

Damit ist es für mich aber halbwegs hinreichend beantwortet.

Ich werde die betroffenen glsa wohl ins /var/lib/portage/glsa_injected eintragen.
Back to top
View user's profile Send private message
hank2000
n00b
n00b


Joined: 06 Dec 2003
Posts: 18
Location: Lake of Constance, Germany

PostPosted: Wed Jul 09, 2014 7:16 am    Post subject: Reply with quote

Nachtrag:

Heute fällt mir auf, daß der o.g. GLSA und andere (201110-01, 201203-12, 201312-03, 201404-07) mit dem Aufruf
Code:
glsa-check -tv all
nicht mehr im Ergebnis ausgegeben werden.

Spannend ......

Das Format scheint ein update erfahren zu haben. Wo kann das nachvollzogen werden?

Grüße
Back to top
View user's profile Send private message
hank2000
n00b
n00b


Joined: 06 Dec 2003
Posts: 18
Location: Lake of Constance, Germany

PostPosted: Wed Jul 23, 2014 9:26 am    Post subject: Reply with quote

Guten Morgen,

heute gibt's wieder so einen Fall:

Sicherheitshinweis:
Code:
# glsa-check -tv affected                                             This system is affected by the following GLSAs:
201402-02 [N] [local   ] NVIDIA Drivers: Privilege Escalation ( x11-drivers/nvidia-drivers-304.123 )


was ist aktuell installiert:
Code:
# eix x11-drivers/nvidia-drivers
[I] x11-drivers/nvidia-drivers
     Available versions:  1.0.8776-r1^s[1] 96.43.23^msd 173.14.39^msd 304.123^msd [m]331.89^msd [m]334.21-r3^msd [m]337.25^msd [m]340.24^msd {+X acpi custom-cflags gtk multilib pax_kernel (+)tools uvm KERNEL="FreeBSD linux"}
     Installed versions:  304.123^msd(11:31:49 07/21/14)(X multilib tools -acpi -pax_kernel KERNEL="linux -FreeBSD")
     Homepage:            http://www.nvidia.com/
     Description:         NVIDIA Accelerated Graphics Driver


und das glsa sieht etwa folgendermaßen aus:
Code:
           GLSA 201402-02:
NVIDIA Drivers: Privilege Escalation           
============================================================================
Synopsis:          A NVIDIA drivers bug allows unprivileged user-mode
                   software to access the GPU inappropriately, allowing for
                   privilege escalation.
Announced on:      February 02, 2014
Last revised on:   March 13, 2014 : 03

Affected package:  x11-drivers/nvidia-drivers
Affected archs:    All
Vulnerable:        <331.20
Unaffected:        >=331.20>=~319.76>=~304.116>=~304.119>=~304.121


Related bugs:      493448

Background:        The NVIDIA drivers provide X11 and GLX support for NVIDIA
                   graphic boards.
                   
Description:       The vulnerability is caused due to the driver allowing
                   unprivileged user-mode software to access the GPU.
                   
Impact:            A local attacker could gain escalated privileges.
                   
Workaround:        There is no known workaround at this time.
                   
Resolution:        All NVIDIA Drivers users using the 331 branch should
                   upgrade to the latest version:
                   # emerge --sync
                   # emerge --ask --oneshot --verbose
                   ">=x11-drivers/nvidia-drivers-331.20"
                   
                   All NVIDIA Drivers users using the 319 branch should
                   upgrade to the latest version:
                   # emerge --sync
                   # emerge --ask --oneshot --verbose
                   ">=x11-drivers/nvidia-drivers-319.76"
                   
                   All NVIDIA Drivers users using the 304 branch should
                   upgrade to the latest version:
                   # emerge --sync
                   # emerge --ask --oneshot --verbose
                   ">=x11-drivers/nvidia-drivers-304.116"
                   
                   
References:       
                   CVE-2013-5986: http://nvd.nist.gov/nvd.cfm?cvename=CVE-2013-5986
                   
                   CVE-2013-5987: http://nvd.nist.gov/nvd.cfm?cvename=CVE-2013-5987


Es bleibt spannend....
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum