Saludos a todos. Hoy he dado una ojeada a la página de Debian para ver qué hay de nuevo, y la gran noticia es la siguiente: Debian Squeeze ha recibido su octava actualización.
Las actualizaciones que han llegado a Debian Squeeze se enfocan principalmente a las aplicaciones para servidores, en especial, para los servidores web. Entre ellas se encuentran:
Paquete Razón
base-files Update version for point release
clamav New upstream release; security fixes
dpkg-ruby Close files once they’re parsed, preventing trouble on dist-upgrades
gdm3 Fix potential security issue with partial upgrades to wheezy
graphviz Use system ltdl
grep Fix CVE-2012-5667
ia32-libs Update included packages from oldstable / security.d.o
ia32-libs-gtk Update included packages from oldstable / security.d.o
inform Remove broken calls to update-alternatives
ldap2dns Do not unnecessarily include /usr/share/debconf/confmodule in postinst
libapache-mod-security Fix NULL pointer dereference. CVE-2013-2765
libmodule-signature-perl CVE-2013-2145: Fixes arbitrary code execution when verifying SIGNATURE
libopenid-ruby Fix CVE-2013-1812
libspf2 IPv6 fixes
lm-sensors-3 Skip probing for EDID or graphics cards, as it might cause hardware issues
moin Do not create empty pagedir (with empty edit-log)
net-snmp Fix CVE-2012-2141
openssh Fix potential int overflow when using gssapi-with-mac authentication (CVE-2011-5000)
openvpn Fix use of non-constant-time memcmp in HMAC comparison. CVE-2013-2061
pcp Fix insecure tempfile handling
pigz Use more restrictive permissions for in-progress files
policyd-weight Remove shut-down njabl DNSBL
pyopencl Remove non-free file from examples
pyrad Use a better random number generator to prevent predictable password hashing and packet IDs (CVE-2013-0294)
python-qt4 Fix crash in uic file with radio buttons
request-tracker3.8 Move non-cache data to /var/lib
samba Fix CVE-2013-4124: Denial of service – CPU loop and memory allocation
smarty Fix CVE-2012-4437
spamassassin Remove shut-down njabl DNSBL; fix RCVD_ILLEGAL_IP to not consider 5.0.0.0/8 as invalid
sympa Fix endless loop in wwsympa while loading session data including metacharacters
texlive-extra Fix predictable temp file names in latex2man
tntnet Fix insecure default tntnet.conf
tzdata New upstream version
wv2 Really remove src/generator/generator_wword{6,8}.htm
xorg-server Link against -lbsd on kfreebsd to make MIT-SHM work with non-world-accessible segments
xview Fix alternatives handling
zabbix Fix SQL injection, zabbix_agentd DoS, possible path disclosure, field name parameter checking bypass, ability to override LDAP configuration when calling user.login via API
En cuanto a las recomendaciones de seguridad, se destacan las aplicaciones para servidores web. Entre ellas están:
ID de recomendación Paquete Corrección(es)
Y por si fuera poco, los paquetes eliminados son:
Paquete Razón
irssi-plugin-otr Security issues
libpam-rsa Broken, causes security problems
Si bien ha sido la buena noticia para aquellos usuarios que usan precisamente esa versión de Debian tanto en datacenters como para experimentos en máquinas virtuales, la otra buena noticia nos llega de la mano de W3Techs, la cual ha mostrado la más reciente encuesta sobre los servidores web que usan Linux, destacando a Debian en el podio al lado de Ubuntu, contrastando la encuesta del 2010 en la que RHEL/CentOS estaban en los primeros puestos de los servidores web que operaban bajo GNU/Linux alrededor del orbe. Además, destaca el hecho que los servidores queb que operan bajo Debian usan el servidor HTTP NginX; mientras que, en el caso de Ubuntu, con Apache.
Eso es todo por ahora. Y recuerden, que aún está disponible la campaña de Crowfunding de GNUPanel para los que estén interesados en contribuir en su lanzamiento de la versión 2.0. Para más información, lean este post.
Eso es todo por ahora. Ojalá que les haya alegrado la noticia. Próximamente les hablaré más a profundidad acerca de mi experiencia de trabajar con GNUPanel.
Hasta el próximo post.
Continúar leyendo...
Las actualizaciones que han llegado a Debian Squeeze se enfocan principalmente a las aplicaciones para servidores, en especial, para los servidores web. Entre ellas se encuentran:
Paquete Razón
base-files Update version for point release
clamav New upstream release; security fixes
dpkg-ruby Close files once they’re parsed, preventing trouble on dist-upgrades
gdm3 Fix potential security issue with partial upgrades to wheezy
graphviz Use system ltdl
grep Fix CVE-2012-5667
ia32-libs Update included packages from oldstable / security.d.o
ia32-libs-gtk Update included packages from oldstable / security.d.o
inform Remove broken calls to update-alternatives
ldap2dns Do not unnecessarily include /usr/share/debconf/confmodule in postinst
libapache-mod-security Fix NULL pointer dereference. CVE-2013-2765
libmodule-signature-perl CVE-2013-2145: Fixes arbitrary code execution when verifying SIGNATURE
libopenid-ruby Fix CVE-2013-1812
libspf2 IPv6 fixes
lm-sensors-3 Skip probing for EDID or graphics cards, as it might cause hardware issues
moin Do not create empty pagedir (with empty edit-log)
net-snmp Fix CVE-2012-2141
openssh Fix potential int overflow when using gssapi-with-mac authentication (CVE-2011-5000)
openvpn Fix use of non-constant-time memcmp in HMAC comparison. CVE-2013-2061
pcp Fix insecure tempfile handling
pigz Use more restrictive permissions for in-progress files
policyd-weight Remove shut-down njabl DNSBL
pyopencl Remove non-free file from examples
pyrad Use a better random number generator to prevent predictable password hashing and packet IDs (CVE-2013-0294)
python-qt4 Fix crash in uic file with radio buttons
request-tracker3.8 Move non-cache data to /var/lib
samba Fix CVE-2013-4124: Denial of service – CPU loop and memory allocation
smarty Fix CVE-2012-4437
spamassassin Remove shut-down njabl DNSBL; fix RCVD_ILLEGAL_IP to not consider 5.0.0.0/8 as invalid
sympa Fix endless loop in wwsympa while loading session data including metacharacters
texlive-extra Fix predictable temp file names in latex2man
tntnet Fix insecure default tntnet.conf
tzdata New upstream version
wv2 Really remove src/generator/generator_wword{6,8}.htm
xorg-server Link against -lbsd on kfreebsd to make MIT-SHM work with non-world-accessible segments
xview Fix alternatives handling
zabbix Fix SQL injection, zabbix_agentd DoS, possible path disclosure, field name parameter checking bypass, ability to override LDAP configuration when calling user.login via API
En cuanto a las recomendaciones de seguridad, se destacan las aplicaciones para servidores web. Entre ellas están:
ID de recomendación Paquete Corrección(es)
Buffer overflow
Multiple issues
Programming error
Denial of service
Multiple issues
Multiple issues
Privilege escalation
Multiple issues
Buffer overflow
Multiple issues
Multiple issues
Buffer overflow
Multiple issues
Multiple issues
Rehashing flaw
FTBFS with updated perl
Multiple issues
Multiple issues
Multiple issues
Denial of service
Multiple issues
Buffer overflow
Multiple issues
Fixed socket name in world-writable directory
Files and device nodes ownership change to kvm group
Cross-site scripting vulnerability
External entity expansion
Buffer overflow
Denial of service
Multiple issues
Denial of service
Guessable random numbers
XML external entity processing vulnerability
Cookie leak vulnerability
Information disclosure
Multiple issues
Stack based buffer overflow
Buffer overflow
Authentication bypass
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Multiple issues
Privilege escalation
Buffer overflow
Denial of service
TLS verification bypass
Multiple issues
Denial of service
Multiple issues
Multiple issues
Heap overflow
Code execution
Heap overflow
Multiple issues
Multiple issues
Heap corruption
Multiple issues
Buffer overflow
Multiple issues
Denial of service
Multiple issues
Information leak
Information leak
SQL injection
Multiple issues
Multiple issues
Multiple issues
Cross-site scripting vulnerability
Interpretation conflict
Multiple issues
Multiple issues
Denial of service
Multiple issues
Multiple issues
Too wide permissions
Cross-site request forgery token disclosure
Denial of service
Directory traversal
Multiple issues
Denial of service
Multiple issues
Hostname check bypassing
Multiple issues
Multiple issues
Denial of service
Authentication bypass
Multiple issues
Insecure SSL usage
Multiple issues
Heap-based buffer overflow
Y por si fuera poco, los paquetes eliminados son:
Paquete Razón
irssi-plugin-otr Security issues
libpam-rsa Broken, causes security problems
Si bien ha sido la buena noticia para aquellos usuarios que usan precisamente esa versión de Debian tanto en datacenters como para experimentos en máquinas virtuales, la otra buena noticia nos llega de la mano de W3Techs, la cual ha mostrado la más reciente encuesta sobre los servidores web que usan Linux, destacando a Debian en el podio al lado de Ubuntu, contrastando la encuesta del 2010 en la que RHEL/CentOS estaban en los primeros puestos de los servidores web que operaban bajo GNU/Linux alrededor del orbe. Además, destaca el hecho que los servidores queb que operan bajo Debian usan el servidor HTTP NginX; mientras que, en el caso de Ubuntu, con Apache.
Eso es todo por ahora. Y recuerden, que aún está disponible la campaña de Crowfunding de GNUPanel para los que estén interesados en contribuir en su lanzamiento de la versión 2.0. Para más información, lean este post.
Eso es todo por ahora. Ojalá que les haya alegrado la noticia. Próximamente les hablaré más a profundidad acerca de mi experiencia de trabajar con GNUPanel.
Hasta el próximo post.
Continúar leyendo...