2009年01月25日

openssl 0.9.7a-43.17.el4_7.2とsquirrelmail 1.4.8-5.el4.centos.3

OpenSSLとまたまたsquirrelmailです。
OpenSSLはOpenSSL 0.9.8j  では無いのがちょっと気になります。何でかな?

ちなみに、RHELでは、
opensslのセキュリティアップデート
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-0004J.html
です。

あと、squirrelmailは、
squirrelmailのセキュリティアップデート
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-0057J.html
前回の更新でセッション処理の欠陥があり、Webブラウザを再起動せずにSquirrelMailに再度ログインしたユーザに対して、固定のセッションIDが割り当てられていました。リモートの攻撃者がこの欠陥を利用して、ユーザのセッションを乗っ取ることが可能でした。(CVE-2009-0030)
と。


=============================================================================
Package Arch Version Repository Size
=============================================================================
Updating:
openssl i386 0.9.7a-43.17.el4_7.2 update 1.1 M
squirrelmail noarch 1.4.8-5.el4.centos.3 update 4.2 M

Transaction Summary
=============================================================================
Install 0 Package(s)
Update 2 Package(s)
Remove 0 Package(s)
Total download size: 5.3 M
Downloading Packages:
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : openssl ######################### [1/4]
Updating : squirrelmail ######################### [2/4]

Updated: openssl.i386 0:0.9.7a-43.17.el4_7.2 squirrelmail.noarch 0:1.4.8-5.el4.centos.3
Complete!

う〜〜〜ん、OpenSSLはなんでだろう?
調べないとね。


おぉ、こっちにちゃんとありました。
openssl security updatehttp://rhn.redhat.com/errata/RHSA-2009-0004.html

RHEL AS4は、
IA-32:
openssl-0.9.7a-43.17.el4_7.2.i386.rpm eb2c11c634313ef375fa21bc6b9585f2
openssl-0.9.7a-43.17.el4_7.2.i686.rpm 9a286a7b7f1e10b14270e216231f6368
openssl-devel-0.9.7a-43.17.el4_7.2.i386.rpm e78c56807d2357fa2c293b35040c0e1b
openssl-perl-0.9.7a-43.17.el4_7.2.i386.rpm 6018190b19061438eff07ca7b31fb85c
openssl096b-0.9.6b-22.46.el4_7.i386.rpm bd73a09301b1b2059663f93715b97775

ですね。m(_ _)m

Posted by hiro at 11:09 | コメント (0)

2009年01月16日

kernel 2.6.9-78.0.13.ELとか、

カーネルと、squirrelmailと、bindです。(-_-;)

bindのセキュリティアップデート
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-0020J.html
BINDがOpenSSL DSA_do_verify関数の戻り値をチェックする方法に欠陥が発見されました。DNSSECを使用しているシステムでは、悪意のあるゾーンが不正な形式のDSA証明書を提示して適切な検証をバイパスし、スプーフィング攻撃を行う可能性がありました。(CVE-2009-0025)
ということらしいです。

squirrelmailのセキュリティアップデート
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-0010J.html
クロスサイトスクリプティング(XSS)欠陥とユーザのセッションクッキーを取得することが可能だったことを対応しているそうです。

カーネルのセキュリティおよびバグ修正アップデート
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-0014J.html

とこんなかんじ。


=============================================================================
Package Arch Version Repository Size
=============================================================================
Installing:
kernel i586 2.6.9-78.0.13.EL update 12 M
Updating:
bind i386 20:9.2.4-30.el4_7.1 update 582 k
bind-chroot i386 20:9.2.4-30.el4_7.1 update 35 k
bind-libs i386 20:9.2.4-30.el4_7.1 update 568 k
bind-utils i386 20:9.2.4-30.el4_7.1 update 142 k
squirrelmail noarch 1.4.8-5.el4.centos.2 update 4.2 M

Transaction Summary
=============================================================================
Install 1 Package(s)
Update 5 Package(s)
Remove 0 Package(s)
Total download size: 18 M
Downloading Packages:
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : bind-libs ####################### [ 1/11]
Updating : bind-utils ####################### [ 2/11]
Updating : bind ####################### [ 3/11]
Installing: kernel ####################### [ 4/11]
Updating : squirrelmail ####################### [ 5/11]
Updating : bind-chroot ####################### [ 6/11]named を停止中: [ OK ]
named を起動中: [ OK ]

Installed: kernel.i586 0:2.6.9-78.0.13.EL
Updated: bind.i386 20:9.2.4-30.el4_7.1 bind-chroot.i386 20:9.2.4-30.el4_7.1 bind-libs.i386 20:9.2.4-30.el4_7.1 bind-utils.i386 20:9.2.4-30.el4_7.1 squirrelmail.noarch 0:1.4.8-5.el4.centos.2
Complete!

さて、カーネル君のアップデートです。
いつ、リブートするかな。(-_-;)

Posted by hiro at 10:40 | コメント (0)

2009年01月14日

nuonce-yumconf.noarch 2-0

さてさて、問題のNuonce(ブライアン氏)のYumConfアップデートです。

=============================================================================
Package Arch Version Repository Size
=============================================================================
Updating:
nuonce-yumconf noarch 2-0 NuOnce Networks 2.0 k

Transaction Summary
=============================================================================
Install 0 Package(s)
Update 1 Package(s)
Remove 0 Package(s)
Total download size: 2.0 k
Downloading Packages:
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : nuonce-yumconf ######################### [1/2]

Updated: nuonce-yumconf.noarch 0:2-0
Complete!

確かにアップデートできました。
が、これは、Nuonceでサポートを打ち切るためのアップデートのようで、

Error: Bad repository file ///etc/yum.repos.d/NuOnce.repo, no repo
stanzas.

なんてエラーになっちゃいます。
なかなか、オープンソース系のビジネスは難しいんですね。

で、Cronにエラー吐きっぱなしになっちゃうので、悲しいですがブライアン氏とはお別れのおまじないをして終了。

yum --erase nuonce-yumconf
お?eraseだめ?

rm /etc/yum.repos.d/NuOnce.repo
仕方が無いので。(-_-;)

Posted by hiro at 19:42 | コメント (0)

2009年01月10日

dovecot 1.1.8-0BQ3

昨日はアップデートされなかったdovecotですが、本日は無事アップデート終了。

=============================================================================
Package Arch Version Repository Size
=============================================================================
Updating:
dovecot i386 1.1.8-0BQ3 BlueQuartz 3.5 M

Transaction Summary
=============================================================================
Install 0 Package(s)
Update 1 Package(s)
Remove 0 Package(s)
Total download size: 3.5 M
Downloading Packages:
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : dovecot ######################### [1/2]

Updated: dovecot.i386 0:1.1.8-0BQ3

※無事終了ですね。

でも、メールの受信ができなくなっていました。
dovecotが立ち上がっていないようなので、マニュアルで立ち上げ。

何でかな?

/etc/init.d/dovecot start

受信できているのでよしと。(ぉぃぉぃ)


あぁ、それと、
warning: /etc/dovecot.conf created as /etc/dovecot.conf.rpmnew
ということなので、暇見てチェックしておかないとだめですね。

Posted by hiro at 08:36 | コメント (0)

2009年01月09日

dovecot-1.1.8-0BQ2.i386.rpm

本日、yumupdateでdovecotのアップデートがありました。
内容は、coba-oにもありましたが、

Changes
[dovecot]
* Thu Jan 08 2009 Hisao SHIBUYA 1.1.8-0BQ2
- Upgdate to 1.1.8

* Tue Sep 02 2008 Michael Stauber 1.1.3.0BQ01
- New build based on Release 1.1.3

* Mon Jun 23 2008 Michael Stauber 1.1.1.0BQ03
- New build based on Release 1.1.1

ということで、本日のアップデート。

が、

Package dovecot-1.1.8-0BQ2.i386.rpm is not signed

ということで、インストールはされず。

Dependencies Resolved

=============================================================================
Package Arch Version Repository Size
=============================================================================
Updating:
dovecot i386 1.1.8-0BQ2 BlueQuartz 3.5 M

Transaction Summary
=============================================================================
Install 0 Package(s)
Update 1 Package(s)
Remove 0 Package(s)
Total download size: 3.5 M
Downloading Packages:

と、ここで終了。
渋谷氏のコメントでsingし忘れたとのことで、明日再リトライです。

Posted by hiro at 08:50 | コメント (0)