Posts Tagged ‘security’

Frischer Build nach HeartBleed, Package-Upgrade für shell.uugrn.org

Wednesday, April 9th, 2014

Im Zuge von HeartBleed musste kurzfristig alles aktualisiert werden, was auf OpenSSL 1.0.1 für x

Entsprechend gab es – neben allen anderen Jails – auch wieder zahlreiche Softwareupdates für shell.uugrn.org

Have fun!
Raphael

Updates in diversen Jails

Saturday, March 13th, 2010

Nachdem portaudit mal wieder ne Weile gemeckert hat, dass sudo unsicher sei habe ich heute die meisten Infrastruktur- und Projekt-Jails mit Hilfe von vorkompilierten Packages auf den aktuellen Stand gehoben.

Mit dabei waren:

Die Vorgehensweise für Jails, die überwiegend aus Packages gebaut sind ist straight-forward:
# portaudit
# portsdb -Fu
# portversion -FvL=
# portupgrade -aPP

Ich empfehle allen Jail-Inhabern diese Prozedur regelmäßig auszuführen. Wer lieber selbst kompiliert wird wissen wie das geht und es dann sicher auch selbst können.

ggf. Probleme mit Apache 2.2 und openssl

Zwischenzeitlich hatte ich ein Apache 2.2 Package gebaut, welches gegen ein älteres openssl in den Ports gelinkt ist (mod_ssl oder so). OpenSSL wurde upgedatet und hat dabei scheinbar irgendwelche internen Funktionen umbenannt, jedenfalls meckert diese spezielle Package-Version von Apache rum wegen mod_ssl. Hier hilft

# portupgrade -fPP www/apache22

… das reinstalliert den Apache 2.2 mit dem aktuellen Package, auch wenn die Versionsnummer ein Update nicht erforderlich machen würde.

Hintergrundinfo: freebsd.forum41.uugrn.org

Die Packages werden auf freebsd.forum41.uugrn.org gebaut. Dieses Jail läuft auf charm.uugrn.org und managt alle FreeBSD-Angelegenheiten, ist u.a. auch ein cvsup-Mirror, der 4x am Tag aktualisiert wird. Weiterhin läuft hier auch ein Distfile-Mirror, der basierend auf den tagesaktuellen Ports alle fehlenden Distfiles versucht zu fetchen und nicht mehr benötigte distfiles wieder verwirft. Auf diese Weise haben wir im Forum41 einen ständig aktuellen distfile-Mirror für FreeBSD (ca. 56GB), der per vom Forum41 aus per ftp, http, rsync und cifs angesprochen werden kann.

Have Fun!
Raphael

Update auf shell.uugrn.org

Wednesday, March 10th, 2010

Heute waren eine handvoll Update auf shell.uugrn.org fällig, darunter u.a. mit OpenSSL, sudo und ksh93.

Das komplette Delta gibts im Wiki.

Have Fun!
Raphael

PS: auch nett: Die Updates seit 3/2009.

Updates auf shell.uugrn.org

Wednesday, December 30th, 2009

Heute waren diverse kleinere Updates auf shell.uugrn.org, u.a. verbunden mit dem (Security-)Update auf PHP 5.2.12, siehe auch phpinfo()

Have fun!

Raphael

Security Update und Reboot auf top.uugrn.org

Sunday, October 4th, 2009

Am Freitag (2. Oktober 2009, 22 Uhr CEST) abend wurden verschiedene Security Advisories für FreeBSD veröffentlicht. Es dreht sich dabei um das Problem, dass der Kernel dazu gebracht werden kann (aufgrund von Bugs), Code an der Adresse 0 (null) auszuführen. Schafft man es nun, dort Code abzulegen und den Kernel ausführen zu lassen, kann man die volle Kontrolle über das System erlangen. 2 der 3 Security Advisories beziehen sich in diesem Kontext auf Bugs, bei dem der Kernel dazu gebracht werden kann, genau das zu tun.

Die Version 7.2-RELEASE-p4 behebt diese Probleme bzw. bietet einen Workaround an. Aus diesem Grund habe ich top.uugrn.org rebootet und damit auch alle Jails neu gestartet.

Ein sehr ähnliche Methode betrifft übrigens auch Linux-Kernel die älter als ein paar Wochen sind, mehr Infos unter heise.de.

Gruß
Raphael

wiki.uugrn.org Update auf mediawiki-1.15.1

Sunday, August 2nd, 2009

Ich habe die Version von MediaWiki auf wiki.uugrn.org von 1.14.0 über 1.15.0 auf das Security Update 1.15.1 vom 13. Juli 2009 aktualisiert.

Das geht recht einfach mit den folgenden Steps:

# cd $WIKIROOT
# wget -O - -q http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.1.tar.gz | gtar xvfz - --strip-components=1
# find . -nouser -exec chown root:www {} +
# cd maintenance
# php update.php

Auf den ersten Blick scheint es dabei keine Einschränkungen zu geben, falls doch, bitte um Kommentare.

Gruß
Raphael

BIND named(8) dynamic update message remote DoS / FreeBSD-SA-09:12.bind

Sunday, August 2nd, 2009

Von der Verwundbarkeit von Bind durch DNS Update Nachrichten an bind (siehe dazu: FreeBSD-SA-09:12.bind) ist UUGRN nicht direkt betroffen. Wir betreiben zwar eigene primäre DNS Server in Jails für verschiedene Zonen, diese werden allerdings im Hidden Primary Betrieb verwendet und können lediglich durch die DNS-Server des Providers zugegriffen werden (Firewall). Die DNS-Server in den Jails sind daher nicht betroffen.

Eigene DNS-Requests werden über den DNS-Server auf top.uugrn.org aufgelöst. Der Zugriff ist aber auch hier durch den Firewall auf unseren eigenen IP-Adressraum beschränkt. Diese Rest-Lücke wurde durch das (empfohlene) Update auf 7.2-RELEASE-p3 geschlossen.

Die UUGRN DNS-Infrastruktur ist im Wiki ausführlicher beschrieben.

Gruß
Raphael