UNIXしま専科 - ニュース

投稿者： unix 投稿日時： 2005-10-7 20:13:00 (700 ヒット)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hello!

I am pleased to announce GNU swbis 0.463, available at
http://sourceforge.net/projects/swbis/

The project home page is
http://www.gnu.org/software/swbis

The files to download are:
swbis-0.463.tar.gz
swbis-0.463.tar.gz.sig

md5: f420528e6613c649bf0240e83cbaa055 swbis-0.463.tar.gz
sha1: 980c136823230d0df0df538468125a0ea497d84b swbis-0.463.tar.gz

This release is a minor bug fix release. There were fixes to
swpackage, and fixes to RPM format translation for problems that
occurred when the RPM package had escape sequences in the file
name. Also, the self tests were updated to work with recent
GNU/Linux distributions.

What is swbis?
- --------------

Swbis is a free implementation of the Posix software
administration standard. It intends (eventually) to provide
all the features of, for example, 'rpm' and 'dpkg', while
maintaining usefulness to free software developers and system
administrators of large heterogeneous networks.

Free software developers can use swbis because a swbis
package is an ordinary looking tarball just like GNU software
packages. It even provides a program, 'swign', that uses
'swpackage' and 'tar' in a manner where the generated
tarball is created entirely by GNU 'tar'.

System administrators can use 'swpackage' to construct run-time
GPG signed packages with a 'postinstall' control script
and deliver it to any GNU/Linux (or BSD or U*ix) host on the
network via 'ssh' using the 'swinstall' command. [and swinstall
does not have to be installed on the remote host].

Although the 'swverify' utility is alpha and not complete for
installed software, the distribution (package) GPG signature
remains valid for installed software and can be verified by
the 'gpg' program directly from the catalog which is a
ordinary file system directory hierarchy.

If you are interested in reading more, the manual is at
http://www.gnu.org/software/swbis/manual.html

Thanks,
Jim
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)

iD8DBQFDRcvQaoGkgF2ZNLERAmMnAJwO0sRCPN2uQf4jBJ8MejGtjS1RzwCfX7u3
2glyo85X29dIwwlhqgw/rT8=
=rrve
-----END PGP SIGNATURE-----

_______________________________________________
GNU Announcement mailing list <info-gnu@gnu.org>
http://lists.gnu.org/mailman/listinfo/info-gnu

コメントする

リリース : Libgcrypt 1.2.2 released

投稿者： unix 投稿日時： 2005-10-6 8:29:00 (446 ヒット)

Hello!

We are pleased to announce the availability of Libgcrypt 1.2.2.

Libgcrypt is a general purpose library of cryptographic building
blocks. It is based on the code used in GnuPG.

This is a bug fix release solving a weakness in the random number
generator when used by forking servers. There are no new features.
It is suggested that all users of Libgcrypt update to this version.

Noteworthy changes are:

* Made the RNG immune against fork without exec.

* Minor changes to some function declarations. Buffer arguments are
now typed as void pointer. This should not affect any compilation.

* A bug in the definition of gcry_cipher_register has been fixed.

Source code is hosted at the GnuPG FTP server and its mirrors as
listed at http://www.gnupg.org/download/mirrors.html . On the primary
server the source file and its digital signature are:

ftp://ftp.gnupg.org/gcrypt/libgcrypt/libgcrypt-1.2.2.tar.bz2 (762k)
ftp://ftp.gnupg.org/gcrypt/libgcrypt/libgcrypt-1.2.2.tar.bz2.sig

These files are bzip2 compressed. If you can't use the bunzip2 tool,
gzip compressed versions of the files are also available:

ftp://ftp.gnupg.org/gcrypt/libgcrypt/libgcrypt-1.2.2.tar.gz (937k)
ftp://ftp.gnupg.org/gcrypt/libgcrypt/libgcrypt-1.2.2.tar.gz.sig

As an alternative a patch against version 1.2.1 is available as:

ftp://ftp.gnupg.org/gcrypt/libgcrypt/libgcrypt-1.2.1-1.2.2.diff.bz2 (140k)

SHA-1 checksums are:

fc61709a9719a239cf8ebbf19b84f99622655dda libgcrypt-1.2.2.tar.bz2
fdf3638c0de619343c5f2291a3e8b9fe610425ce libgcrypt-1.2.2.tar.gz
aa02d0be295586604896de44195d13a4002a53b5 libgcrypt-1.2.1-1.2.2.diff.bz2

If you used the CVS version in the past, please note that we migrated
the CVS repository to Subversion. Its new location is:

svn://cvs.gnupg.org/libgcrypt/branches/LIBGCRYPT-1-2-BRANCH

For help on installing or developing with Libgcrypt you should send
mail to the grcypt-devel mailing list. For details see
http://www.gnupg.org/documentation/mailing-lists.html .

Improving Libgcrypt is costly, but you can help! We are looking for
organizations that find Libgcrypt useful and wish to contribute back.
You can contribute by reporting bugs, improve the software, or by
donating money.

Commercial support contracts for Libgcrypt are available, and they
help finance continued maintenance. g10 Code GmbH, a Duesseldorf
based company owned and headed by gpg's principal author, is currently
funding Libgcrypt development. We are always looking for interesting
development projects.

Happy hacking,

Moritz and Werner

--
The GnuPG Experts http://g10code.com
Free Software Foundation Europe http://fsfeurope.org
Join the Fellowship and protect your Freedom! http://www.fsfe.org

コメントする

リリース : [ann] Maven 2.0 Beta 3 Released

投稿者： unix 投稿日時： 2005-10-6 0:10:00 (408 ヒット)

The Apache Maven team are proud to announce the third beta release of
Maven 2.0.

Download it from http://maven.apache.org/maven2/download.html

Maven is a software project management and comprehension tool. Based on
the concept of a project object model (POM), Maven can manage a
project's build, reporting and documentation from a central piece of
information.

This release includes a number of bug fixes [1] since the previous
release on 27 September.

Maven 2.0 is a rewrite of the popular Maven application to achieve a
number of new goals, and to provide a stable basis to take it into the
future.

This release is considered stable with a feature set that encompasses
and supersedes Maven 1.0. The final release is expected to be backwards
compatible with this beta, with a primary goal of bugfixes, usability
improvements, and documentation.

This core release is independent of the plugins available. Further
releases of plugins will be made separately. See Maven Plugin Matrix
for more information.

We hope you enjoy using Maven! If you have any questions, please consult:

* the web site:
http://maven.apache.org/maven2/
* the maven-user mailing list:
http://maven.apache.org/mail-lists.html

For news and information, see:

* Maven Blogs:
http://www.mavenblogs.com/

[1] http://tinyurl.com/bpa8o
[2] http://docs.codehaus.org/display/MAVEN/Maven+Plugin+Matrix

コメントする

リリース : JPCERT/CC REPORT 2005-10-05

投稿者： unix 投稿日時： 2005-10-5 19:30:00 (832 ヒット)

-----BEGIN PGP SIGNED MESSAGE-----

JPCERT-WR-2005-3901
JPCERT/CC
2005-10-05

<<< JPCERT/CC REPORT 2005-10-05 >>>

これは JPCERT/CC が 9/25(日) から 10/1(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。

[1] RealPlayer および HelixPlayer の RealPix ファイル処理の脆弱性

CIAC Bulletin P-314
RealPlayer and HelixPlayer Security Update
http://www.ciac.org/ciac/bulletins/p-314.shtml

RealPlayer および HelixPlayer には、RealPix (.rp) ファイルを処理する際
のフォーマット文字列の扱いに脆弱性があります。結果として、遠隔から第三
者が RealPix ファイルを経由して RealPlayer または HelixPlayer を実行し
ているユーザの権限を取得する可能性があります。

この問題は、修正済みのバージョンに更新することで解決します。

関連文書 (日本語)
Red Hat セキュリティアドバイス RHSA-2005:788-03
Critical: HelixPlayer security update
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-788J.html

関連文書 (英語)
Customer Support - Real Security Updates
RealNetworks, Inc. Releases Update to Address Security Vulnerabilities.
http://service.real.com/help/faq/security/050930_player/EN/

Red Hat Security Advisory RHSA-2005:762-12
Critical: RealPlayer security update
https://rhn.redhat.com/errata/RHSA-2005-762.html

Debian Security Advisory DSA-826-1
helix-player -- multiple vulnerabilities
http://www.debian.org/security/2005/dsa-826.en.html

[2] MySQL のバッファオーバーフローの脆弱性

CIAC Bulletin P-320
MySQL & MySQL-dfsg
http://www.ciac.org/ciac/bulletins/p-320.shtml

MySQL には、init-syms 関数にバッファオーバーフローの脆弱性があります。
結果として、ユーザ定義関数を作成できる権限のあるユーザが任意のコードを
実行する可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケー
ジに MySQL を更新することで解決します。

関連文書 (英語)
Debian Security Advisory DSA-829-1
mysql -- buffer overflow
http://www.debian.org/security/2005/dsa-829.en.html

Debian Security Advisory DSA-831-1
mysql-dfsg -- buffer overflow
http://www.debian.org/security/2005/dsa-831.en.html

Debian Security Advisory DSA-833-1
mysql-dfsg-4.1 -- buffer overflow
http://www.debian.org/security/2005/dsa-833.en.html

[3] Xsun および Xprt コマンドの脆弱性

CIAC Bulletin P-315
Security Vulnerability in the Xsun(1) and Xprt(1) Commands
http://www.ciac.org/ciac/bulletins/p-315.shtml

Sun Solaris 7、8、9 および 10 の Xsun および Xprt コマンドには、脆弱性
があります。結果として、ローカルユーザが Xsun または Xprt コマンドを実
行しているユーザの権限を取得する可能性があります。

この問題は、Sun が提供するパッチを適用することで解決します。

関連文書 (日本語)
Sun Alert Notification 101800
Security Vulnerability in the Xsun(1) and Xprt(1) Commands
http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-101800-1

[4] TWiki の INCLUDE 機能の脆弱性

CIAC Bulletin P-316
TWiki INCLUE Function Allows Arbitrary Shell Command Execution
http://www.ciac.org/ciac/bulletins/p-316.shtml

TWiki には、INCLUDE 変数の rev パラメータを適切に確認しない脆弱性があ
ります。結果として、遠隔から第三者が Web サーバプログラムを実行してい
るユーザの権限を取得する可能性があります。この問題は、TWiki.org が提供
するパッチを適用することで解決します。

関連文書 (英語)
TWiki Security Alert
TWiki INCLUDE function allows arbitrary shell command execution
http://twiki.org/cgi-bin/view/Codev/SecurityAlertExecuteCommandsWithInclude

[5] IBM AIX getconf コマンドのバッファオーバーフローの脆弱性

US-CERT Vulnerability Note VU#602300
AIX "getconf" contains buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/602300

CIAC Bulletin P-319
IBM Security Vulnerabilities in Getconfig Command
http://www.ciac.org/ciac/bulletins/p-319.shtml

IBM AIX 5.3 の getconf コマンドには、バッファオーバーフローの脆弱性が
あります。結果として、ローカルユーザが root 権限を取得する可能性があり
ます。この問題は、IBM が提供するセキュリティアップデートを適用すること
で解決します。

関連文書 (英語)
IBM - IY73814: SECURITY
VULNERABILITIES IN GETCONF COMMAND
http://www-1.ibm.com/support/docview.wss?uid=isg1IY73814

IBM - IY73850: SECURITY
VULNERABILITIES IN GETCONF COMMAND
http://www-1.ibm.com/support/docview.wss?uid=isg1IY73850

[今週の一口メモ]

* 国際化ドメイン名 (IDN) に注意

国際化ドメイン名に対応したブラウザなどを使用する場合には注意が必要です。
例えば、アルファベット (ASCII 文字) に似た文字 (例えばキリル文字の a
など) を含んだドメイン名によって URL が詐称されていることに気付かず、
正規の Web サイトになりすました phishing サイトなどに誘導される可能性
があります。このような危険性を回避する方法としては、以下のような方法が
あります。

- リンクをたどらずに直接 URL を入力

- ブラウザを最新版に

表示されているページの URL に国際化ドメイン名が含まれている場合、
最近の多くのブラウザでは、当該文字列を xn-- で始まる文字列に変換
してアドレスバーに表示します。

- ステータスバーを確認

リンクをたどる前にステータスバーに表示された URL を確認します。
xn-- で始まる文字列が含まれている場合は、国際化ドメイン名が使わ
れています。Mozilla や Firefox など一部のブラウザには、非 ASCII
文字のまま表示する機能を持っているものがありますが、この機能が有
効になっていないことをあらかじめ確認しておいてください。

参考文献 (英語)
US-CERT Cyber Security Tip ST05-016
Understanding Internationalized Domain Names
http://www.us-cert.gov/cas/tips/ST05-016.html

参考文献 (日本語)
社団法人日本ネットワークインフォメーションセンター
国際化ドメイン名とは
http://www.nic.ad.jp/ja/dom/idn.html

[JPCERT/CC からのお知らせ]

次号の発行は 10月 13日(木)の予定です。

[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

http://www.jpcert.or.jp/form/

以上。
__________

2005 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQ0MsxIx1ay4slNTtAQHJtgQAlHZvvmTBRBCAeqeZB1K86DYh5UzrvfMz
TRUg2/mUTuuCjv+RxoG40vEe1IGML6iNjq4HHo+LM5AS6b5IWCFzQH+S8/vFi30q
9d7Fy5Tj9Z4sUozO5+QVNUkenSCp4kmskFlwjLVbjtl8cZ3/Y6aRGYuq8Q4m45yP
UNKc380BAlc=
=ypwZ
-----END PGP SIGNATURE-----

コメントする

リリース : Apache Portable Runtime 0.9.7リリース

投稿者： unix 投稿日時： 2005-10-4 9:06:00 (496 ヒット)

続き... | 残り3913バイト | コメントする

« 1 ... 176 177 178 (179)