Sappiamo tutti quanto sia importante mantenere aggiornato il proprio sistema operativo, ma è parimenti esperienza comune che spesso siano proprio gli aggiornamenti a introdurre nuovi bug. Ubuntu segue delle linee guida ben precise per gestire questa situazione.
La chiave di volta dell’intero discorso è che, una volta rilasciata la release, gli aggiornamenti non si fanno affatto, a meno che non riguardino vulnerabilità di sicurezza o bug particolarmente significativi.
Addirittura, nell’ottica di stabilizzare la release, già durante le ultime fasi di sviluppo l’ingresso di nuovi pacchetti dei vari software è sottoposto ad un controllo particolarmente rigido (una fase nota agli sviluppatori come “Feature Freeze”, appunto).
Gli aggiornamenti proposti a continuazione fanno parte del bollettino di sicurezza settimanale rilasciato da Canonical e riguardano in particolare:
The JasPer JPEG-2000 Runtime Library.
JasPer è una raccolta di software (cioè una libreria e programmi applicativi) per la codifica e la manipolazione di immagini.
Questo software può gestire immagini in una varitetà di formati. Uno di tali formati supportati di JasPer è il formato JPEG-2000 definito in ISO/IEC 15444-1:2000.
Mit Kerberos Runtime Libraries - Support Library
Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica insicura provando la propria identità e cifrando i dati.
Kerberos previene l'intercettazione e i replay attack, e assicura l'integrità dei dati. I suoi progettisti mirarono soprattutto ad un modello client-server, e fornisce una mutua autenticazione — sia l'utente che il fornitore del servizio possono verificare l'identità dell'altro.
Kerberos si basa sulla crittografia simmetrica e richiede una terza parte affidabile.
Type 1 font rasterizer library runtime.
Libreria per il rastering dei tipi di carattere Type 1 - eseguibile; libt1-5-dbg: Type 1 font rasterizer library.
La chiave di volta dell’intero discorso è che, una volta rilasciata la release, gli aggiornamenti non si fanno affatto, a meno che non riguardino vulnerabilità di sicurezza o bug particolarmente significativi.
Addirittura, nell’ottica di stabilizzare la release, già durante le ultime fasi di sviluppo l’ingresso di nuovi pacchetti dei vari software è sottoposto ad un controllo particolarmente rigido (una fase nota agli sviluppatori come “Feature Freeze”, appunto).
Gli aggiornamenti proposti a continuazione fanno parte del bollettino di sicurezza settimanale rilasciato da Canonical e riguardano in particolare:
- MIT Kerberos, JasPer.
- Type 1 font rasterizer.
- The JasPer JPEG-2000 Runtime Library.
Questo software può gestire immagini in una varitetà di formati. Uno di tali formati supportati di JasPer è il formato JPEG-2000 definito in ISO/IEC 15444-1:2000.
JasPer is a collection of software (i.e., a library and application programs) for the coding and manipulation of images.
This software can handle image data in a variety of formats.
One such format supported by JasPer is the JPEG-2000 format defined in ISO/IEC 15444-1:2000.
This package contains the shared library.
Modifiche per le versioni:
Versione installata: 1.900.1-7ubuntu2
Versione disponibile: 1.900.1-7ubuntu2.11.10.1
Versione 1.900.1-7ubuntu2.11.10.1:
* SECURITY UPDATE: denial of service and possible code execution via
heap-based buffer overflows.
- src/libjasper/jpc/jpc_cs.c: validate compparms->numrlvls and allocate
proper size in src/libjasper/jpc/jpc_cs.c.
- Thanks to Red Hat for the patch
- CVE-2011-4516
- CVE-2011-4517
Mit Kerberos Runtime Libraries - Support Library
Kerberos previene l'intercettazione e i replay attack, e assicura l'integrità dei dati. I suoi progettisti mirarono soprattutto ad un modello client-server, e fornisce una mutua autenticazione — sia l'utente che il fornitore del servizio possono verificare l'identità dell'altro.
Kerberos si basa sulla crittografia simmetrica e richiede una terza parte affidabile.
Kerberos is a system for authenticating users and services on a network. Kerberos is a trusted third-party service.
That means that there is a third party (the Kerberos server) that is trusted by all the entities on the network (users and services, usually called "principals").
This is the MIT reference implementation of Kerberos V5.
This package contains the runtime cryptography libraries used by applications and Kerberos clients.
Modifiche per le versioni:
Versione installata: 1.9.1+dfsg-1ubuntu2.1
Versione disponibile: 1.9.1+dfsg-1ubuntu2.2
Versione 1.9.1+dfsg-1ubuntu2.2:
* SECURITY UPDATE: fix kdc denial of service issue:
- src/kdc/do_tgs_req.c: check for NULL pointer after
calling find_alternate_tgs()
- src/kdc/Makefile.in, src/kdc/t_emptytgt.py: add testcase
- applied inline
- CVE-2011-1530, MITKRB5-SA-2011-007
Modifiche per le versioni:
Versione installata: 1.9.1+dfsg-1ubuntu2.1
Versione disponibile: 1.9.1+dfsg-1ubuntu2.2
Versione 1.9.1+dfsg-1ubuntu2.2:
* SECURITY UPDATE: fix kdc denial of service issue:
- src/kdc/do_tgs_req.c: check for NULL pointer after
calling find_alternate_tgs()
- src/kdc/Makefile.in, src/kdc/t_emptytgt.py: add testcase
- applied inline
- CVE-2011-1530, MITKRB5-SA-2011-007
Modifiche per le versioni:
Versione installata: 1.9.1+dfsg-1ubuntu2.1
Versione disponibile: 1.9.1+dfsg-1ubuntu2.2
Versione 1.9.1+dfsg-1ubuntu2.2:
* SECURITY UPDATE: fix kdc denial of service issue:
- src/kdc/do_tgs_req.c: check for NULL pointer after
calling find_alternate_tgs()
- src/kdc/Makefile.in, src/kdc/t_emptytgt.py: add testcase
- applied inline
- CVE-2011-1530, MITKRB5-SA-2011-007
Type 1 font rasterizer library runtime.
T1lib is an enhanced rasterizer for Type 1 fonts.
T1lib is based on the X11R5 font rasterizer code, but operates independently of X11.
It includes many enhancements, including underlining, antialiasing, user-defined slant and extension factors, and rotation.
This package contains the shared libraries needed to run programs using T1lib.
Modifiche per le versioni:
Versione installata: 5.1.2-3build1
Versione disponibile: 5.1.2-3ubuntu0.11.10.1
Versione 5.1.2-3ubuntu0.11.10.1:
* SECURITY UPDATE: Arbitrary code execution via crafted Type 1 font
- lib/type1/type1.c: Only use ppoints when it is a valid pointer
- CVE-2011-0764
Trovato questo articolo interessante? Condividilo sulla tua rete di contatti in Twitter, sulla tua bacheca su Facebook, in Linkedin, Instagram o Pinterest. Diffondere contenuti che trovi rilevanti aiuta questo blog a crescere. Grazie!