Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Nuove gravi vulnerabilita' e nuova release 3.2.1

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Ott 17, 2014 8:47 pm    Oggetto: Nuove gravi vulnerabilita' e nuova release 3.2.1 Rispondi citando

Salve,

è disponibile la nuova release Zeroshell 3.2.1. Dopo il rilascio della release 3.2.0 sono state individuate due nuove vulnerabilità della Bash che permettono l'esecuzione di comandi non autenticati sia tramite l'interfaccia web di amministrazione che tramite la pagina di login del Captive Portal. Inoltre, è stato aggiornato OpenSSL per risolvere ulteriori problemi di sicurezza che interessano l'interfaccia web di Zeroshell, il Captive Portal, le VPN con OpenVPN, il server RADIUS e tutti i servizi che sfruttano SSLv3.
Vista la gravità di queste vulnerabilià si consiglia l'aggiornamento di tutte le precedenti release. Le release 3.0.0, 3.1.0 e 3.2.0 possono essere aggiornate automaticamente mediante il Package Manager a Zeroshell 3.2.1

Saluti
Fulvio


L'ultima modifica di fulvio il Ven Feb 13, 2015 10:37 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 521

MessaggioInviato: Dom Ott 19, 2014 7:36 am    Oggetto: Rispondi citando

aggiornamento andato a buon fine su due macchine
Top
Profilo Invia messaggio privato
lorenzo



Registrato: 02/12/08 11:02
Messaggi: 81

MessaggioInviato: Lun Ott 20, 2014 8:36 am    Oggetto: aggiornamento fallito :( Rispondi citando

Ciao,

ho provato a fare l'aggiornamento, che e' stato scaricato dal repository come tutti gli altri. Dopo il reboot pero', la macchina non era piu' in grado di partire (non trovava la partizione di root).
Ho riavviato la 3.2.0, rimosso l'aggiornamento e il problema si e' risolto.

Lorenzo
Top
Profilo Invia messaggio privato
Paolo3000



Registrato: 30/01/08 21:56
Messaggi: 15

MessaggioInviato: Mar Ott 21, 2014 5:41 am    Oggetto: Rispondi citando

Ciao, vorrei aggiornare su ALIX. Verrà rilasciato il file di aggiornamento in versione .img.gz ?
Grazie.
Paolo
Top
Profilo Invia messaggio privato
bullet



Registrato: 05/06/13 14:28
Messaggi: 29

MessaggioInviato: Mar Ott 28, 2014 12:42 pm    Oggetto: Rispondi citando

Trovo assurdo non poter fare l'upgrade di ZS alla 3.2.. Shocked Shocked Shocked Capisco finché ci sono moduli aggiuntivi, funzioni aggiuntive, kernel ottimizzati, ma quando ci sono dei bug così gravi, andrebbero rilasciate della patch a TUTTI, in maniera tale da evitare possibili compromissioni..

>> Operation not allowed without a valid Repository Subscription Evil or Very Mad Evil or Very Mad Evil or Very Mad Evil or Very Mad Evil or Very Mad Evil or Very Mad Evil or Very Mad Evil or Very Mad Evil or Very Mad

Giocare con la sicurezza degli utenti non è bello...
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 760

MessaggioInviato: Mar Ott 28, 2014 12:52 pm    Oggetto: Rispondi citando

E fare un backup del profilo, scaricare la 3.2.1 , e ripristinare il profilo sulla nuova versione ? Non dovrebbe costare niente .....Wink
ciao
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Mar Ott 28, 2014 1:53 pm    Oggetto: Rispondi citando

e usare un live cd e solo il profilo su hd/ sd/ usb ??





e richiedere un codice attivazione ???



non mi pare sia difficile promuovere un progetto sul proprio sito o sui forum magari mettendo in firma ...

Io uso Zeroshell !!
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Ott 30, 2014 9:27 pm    Oggetto: Rispondi citando

Caro Bullet,
normalmente i Security Fix e i Bug Fix passano automaticamente. In questo caso era compromessa la Bash e poiché il path di tale binario non può cambiare essendo dichiarato negli script con

#!/bin/bash

non ho potuto risolvere se non rilasciando due ISO consecutive con non pochi sforzi. Avrei potuto far finta di niente ignorando il problema, ma proprio perché ci tengo alla sicurezza ho rilasciato tali ISO e relative immagini per flash USB.
Come ti è stato fatto notare ti sarebbe bastato fare il download e il backup del profilo per avere la release aggiornata. Mi dispiace non averti potuto evitare anche questo piccolo sforzo.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 521

MessaggioInviato: Ven Ott 31, 2014 7:46 am    Oggetto: Rispondi citando

condivido appieno le vostre affermazioni, e se ci riesco io che non sono un espertissimo di informatica non vedo perchè non ci riesci tu.

io parto da un presupposto che secondo me è il più importante, questi ragazzi sviluppano un software gratuito e al servizio di molti, tecnicamente non so cosa succede su questi bug però non vedo grosse difficoltà a scaricare e riaggiornare il sistema.
e se poi si hanno dubbi o perplessità vedo che qui il forum è molto attivo e ti da aiuti molto prezioni.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it