OpenSSLとまたまたsquirrelmailです。
OpenSSLはOpenSSL 0.9.8j では無いのがちょっと気になります。何でかな?
ちなみに、RHELでは、
opensslのセキュリティアップデート
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-0004J.html
です。
あと、squirrelmailは、
squirrelmailのセキュリティアップデート
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-0057J.html
前回の更新でセッション処理の欠陥があり、Webブラウザを再起動せずにSquirrelMailに再度ログインしたユーザに対して、固定のセッションIDが割り当てられていました。リモートの攻撃者がこの欠陥を利用して、ユーザのセッションを乗っ取ることが可能でした。(CVE-2009-0030)
と。
=============================================================================
Package Arch Version Repository Size
=============================================================================
Updating:
openssl i386 0.9.7a-43.17.el4_7.2 update 1.1 M
squirrelmail noarch 1.4.8-5.el4.centos.3 update 4.2 M
Transaction Summary
=============================================================================
Install 0 Package(s)
Update 2 Package(s)
Remove 0 Package(s)
Total download size: 5.3 M
Downloading Packages:
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : openssl ######################### [1/4]
Updating : squirrelmail ######################### [2/4]
Updated: openssl.i386 0:0.9.7a-43.17.el4_7.2 squirrelmail.noarch 0:1.4.8-5.el4.centos.3
Complete!
う〜〜〜ん、OpenSSLはなんでだろう?
調べないとね。
おぉ、こっちにちゃんとありました。
openssl security updatehttp://rhn.redhat.com/errata/RHSA-2009-0004.html
RHEL AS4は、
IA-32:
openssl-0.9.7a-43.17.el4_7.2.i386.rpm eb2c11c634313ef375fa21bc6b9585f2
openssl-0.9.7a-43.17.el4_7.2.i686.rpm 9a286a7b7f1e10b14270e216231f6368
openssl-devel-0.9.7a-43.17.el4_7.2.i386.rpm e78c56807d2357fa2c293b35040c0e1b
openssl-perl-0.9.7a-43.17.el4_7.2.i386.rpm 6018190b19061438eff07ca7b31fb85c
openssl096b-0.9.6b-22.46.el4_7.i386.rpm bd73a09301b1b2059663f93715b97775
ですね。m(_ _)m
カーネルと、squirrelmailと、bindです。(-_-;)
bindのセキュリティアップデート
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-0020J.html
BINDがOpenSSL DSA_do_verify関数の戻り値をチェックする方法に欠陥が発見されました。DNSSECを使用しているシステムでは、悪意のあるゾーンが不正な形式のDSA証明書を提示して適切な検証をバイパスし、スプーフィング攻撃を行う可能性がありました。(CVE-2009-0025)
ということらしいです。
squirrelmailのセキュリティアップデート
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-0010J.html
クロスサイトスクリプティング(XSS)欠陥とユーザのセッションクッキーを取得することが可能だったことを対応しているそうです。
カーネルのセキュリティおよびバグ修正アップデート
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-0014J.html
とこんなかんじ。
=============================================================================
Package Arch Version Repository Size
=============================================================================
Installing:
kernel i586 2.6.9-78.0.13.EL update 12 M
Updating:
bind i386 20:9.2.4-30.el4_7.1 update 582 k
bind-chroot i386 20:9.2.4-30.el4_7.1 update 35 k
bind-libs i386 20:9.2.4-30.el4_7.1 update 568 k
bind-utils i386 20:9.2.4-30.el4_7.1 update 142 k
squirrelmail noarch 1.4.8-5.el4.centos.2 update 4.2 M
Transaction Summary
=============================================================================
Install 1 Package(s)
Update 5 Package(s)
Remove 0 Package(s)
Total download size: 18 M
Downloading Packages:
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : bind-libs ####################### [ 1/11]
Updating : bind-utils ####################### [ 2/11]
Updating : bind ####################### [ 3/11]
Installing: kernel ####################### [ 4/11]
Updating : squirrelmail ####################### [ 5/11]
Updating : bind-chroot ####################### [ 6/11]named を停止中: [ OK ]
named を起動中: [ OK ]
Installed: kernel.i586 0:2.6.9-78.0.13.EL
Updated: bind.i386 20:9.2.4-30.el4_7.1 bind-chroot.i386 20:9.2.4-30.el4_7.1 bind-libs.i386 20:9.2.4-30.el4_7.1 bind-utils.i386 20:9.2.4-30.el4_7.1 squirrelmail.noarch 0:1.4.8-5.el4.centos.2
Complete!
さて、カーネル君のアップデートです。
いつ、リブートするかな。(-_-;)
さてさて、問題のNuonce(ブライアン氏)のYumConfアップデートです。
=============================================================================
Package Arch Version Repository Size
=============================================================================
Updating:
nuonce-yumconf noarch 2-0 NuOnce Networks 2.0 k
Transaction Summary
=============================================================================
Install 0 Package(s)
Update 1 Package(s)
Remove 0 Package(s)
Total download size: 2.0 k
Downloading Packages:
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : nuonce-yumconf ######################### [1/2]
Updated: nuonce-yumconf.noarch 0:2-0
Complete!
確かにアップデートできました。
が、これは、Nuonceでサポートを打ち切るためのアップデートのようで、
Error: Bad repository file ///etc/yum.repos.d/NuOnce.repo, no repo
stanzas.
なんてエラーになっちゃいます。
なかなか、オープンソース系のビジネスは難しいんですね。
で、Cronにエラー吐きっぱなしになっちゃうので、悲しいですがブライアン氏とはお別れのおまじないをして終了。
yum --erase nuonce-yumconf
お?eraseだめ?
rm /etc/yum.repos.d/NuOnce.repo
仕方が無いので。(-_-;)
昨日はアップデートされなかったdovecotですが、本日は無事アップデート終了。
=============================================================================
Package Arch Version Repository Size
=============================================================================
Updating:
dovecot i386 1.1.8-0BQ3 BlueQuartz 3.5 M
Transaction Summary
=============================================================================
Install 0 Package(s)
Update 1 Package(s)
Remove 0 Package(s)
Total download size: 3.5 M
Downloading Packages:
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : dovecot ######################### [1/2]
Updated: dovecot.i386 0:1.1.8-0BQ3
※無事終了ですね。
でも、メールの受信ができなくなっていました。
dovecotが立ち上がっていないようなので、マニュアルで立ち上げ。
何でかな?
/etc/init.d/dovecot start
受信できているのでよしと。(ぉぃぉぃ)
あぁ、それと、
warning: /etc/dovecot.conf created as /etc/dovecot.conf.rpmnew
ということなので、暇見てチェックしておかないとだめですね。
本日、yumupdateでdovecotのアップデートがありました。
内容は、coba-oにもありましたが、
Changes
[dovecot]
* Thu Jan 08 2009 Hisao SHIBUYA
- Upgdate to 1.1.8
* Tue Sep 02 2008 Michael Stauber
- New build based on Release 1.1.3
* Mon Jun 23 2008 Michael Stauber
- New build based on Release 1.1.1
ということで、本日のアップデート。
が、
Package dovecot-1.1.8-0BQ2.i386.rpm is not signed
ということで、インストールはされず。
Dependencies Resolved
=============================================================================
Package Arch Version Repository Size
=============================================================================
Updating:
dovecot i386 1.1.8-0BQ2 BlueQuartz 3.5 M
Transaction Summary
=============================================================================
Install 0 Package(s)
Update 1 Package(s)
Remove 0 Package(s)
Total download size: 3.5 M
Downloading Packages:
と、ここで終了。
渋谷氏のコメントでsingし忘れたとのことで、明日再リトライです。
日 | 月 | 火 | 水 | 木 | 金 | 土 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |