Debian-linux.cz

Julian Andres Klode upozorňuje na to, že vychází nová verze utility APT, která ruší podporu hashovací funkce SHA-1. Objeví se v Debianu unstable a také v připravovaném Ubuntu 16.04 LTS.

Po vydání se může stát, že některé repozitáře třetích stran přestanou správně fungovat než přejdou na silnější SHA-2. Zatím bohužel platí, že GPG podpisy mohou SHA-1 používat, to by se ale také mělo změnit – je v plánu to udělat během prázdnin.

Známá chyba Shellshock byla opravena téměř ve všech verzích Debianu až po prastarý Sarge. Zatím ovšem chyběla oprava pro Debian Lenny, který není zas tak starý. Vývojář Patrick Matthaei se rozhodl tuto díru zaplnit a opravené balíčky pro Lennyho vydal. Součástí balíčků jsou i další opravy, takže pokud někde ještě Debian 5.0 používáte, doporučujeme aktualizaci provést.

Gunnar Wolf píše o aktuální bezpečnostní hrozbě, které čelí Drupal 7. Pomocí chyby v kódu je možné bez přihlášení dostat na server vlastní kód a pustit ho. V Debianu už jsou aktuální balíčky s opravou, takže pokud používáte distribuční balík s Drupalem, stačí aktualizovat. Měli byste to udělat co nejdřív, protože útoky na děravé weby už běží. Záplatované balíčky jsou:

sid / jessie (unstable / testing)

7.32-1

wheezy (stable)

7.14-2+deb7u7

wheezy-backports

7.32-1~bpo70+1

squeeze-backports (oldstable)

7.14-2+deb7u7~bpo60+1

Celý svět mluví o chybě v bashi, které se už přezdívá „shellshock“ (podrobný rozbor). V Debianu je chyba označovaná jako CVE-2014-6271 už opravená ve všech větvích. Pozor na to, že pro stable (Wheezy) je třeba mít zapnutý repozitář security a oldstable (Squeeze) je podporován jen ve větvi LTS (repozitáře squeeze-lts). Dokonce vyšly opravné balíčky pro staré verze Sarge (3.1) a Etch (4.0). Stáhnete je v samostatném repozitáři na ftp.linux.it.

Vývojáři oznámili, že z Debianu 6.0 Squeeze se stává vydání s prodlouženou podporou, jinými slovy LTS (Long Term Support) vydání. Původně oznámený konec podpory předposledního vydání Debianu byl 31. květen 2014. Nově stanovený konec podpory je únor 2016. Znamená to tedy, že Squeeze bude podporován 5 let od jeho vydání. Nutno podotknout, že toto prodloužení se týká pouze uživatelů dvou hlavních architektur i386 a amd64. Na základě úspěchu tohoto projektu bude posouzeno, zda se prodloužená podpora bude týkat i současného stabilního Debianu 7 Wheezy a také příštího Debianu 8 Jessie.

Byla vydána aktualizace oldstable větve Debianu 6.0.8, která řeší bezpečnostní a některé závažnější objevené problémy v oldstable. Jedná se tedy jen o aktualizace některých balíků. Bezpečnostní aktualizace již proto byly distribuovány obvyklým způsobem.

Byla vydána druhá aktualizace stabilní větve Debian 7 “Wheezy”, která obsahuje hlavně bezpečnostní opravy. Jde o opravy, které byly už dříve distribuované přes repozitář security.debian.org. Brzy budou též k dispozici aktualizované CD a DVD obrazy. Spolu s touto aktualizací byl též aktualizován debian instalátor.

Laurent Bigonville oznámil 17. srpna chybu s kulatým číslem 720000. Tato chyba byla nalezena v balíčku drizzle.

Na Carnegie Mellon University vyvinuli analytický software pro ověřování binárních souborů na exploity. Díky němu se jim podařilo v celém Debianu nalézt přibližně dvanáct set chyb. Toto číslo vypadá na první pohled závratně, ale je třeba si uvědomit, že právě Debian obsahuje desítky tisíc balíčku a i před zveřejněním této analýzy obsahoval přes dva tisíce nahlášených kritických chyb. Dodejme, že aktuálně tvůrci řeší, jak nalezené chyby nahlásit.

Neoficiální repozitář debian-multimedia.org byl před pár měsíci přesunut na novou doménu. Nyní ale původní doména patří někomu, kdo pravděpodobně nemá patřičnou důvěru a komunitě není známý. Je proto lepší tuto doménu nepovažovat za důvěryhodnou.