Entradas

Mostrando entradas de diciembre, 2008

Re: Analisis de un Bug: 'imlib2' Library 'load()' CVE-2008-5187

Imagen
Bien estos dias voy a estar algo ocupado con lo del trabajo y eso. Solo veremos una tecnica mas de depuracion.
Este nos sirve mas que nada para cuando, el bug se enecunetra en una libreria, tal y como es nuestro caso:

Citar %truss -f -d -o prueba.truss ./imlib2_convert ./prueba.xpm ./prueba.png
Este comando nos generara un archivo prueba.truss

Mas informacion sobre truss:
Código: http://fuse4bsd.creo.hu/localcgi/man-cgi.cgi?truss+1
De este lo podemos examinar con:
Citar %cat prueba.truss
Pero lo que nos interesa es ver que librerias carga:

Citar %cat prueba.truss | grep open
27161: 0.000555657 open("/etc/libmap.conf",O_RDONLY,0666) ERR#2 'No such file or directory'
27161: 0.000624940 open("/var/run/ld-elf.so.hints",O_RDONLY,00) = 4 (0x4)
27161: 0.001195124 open("/usr/local/lib/libImlib2.so.5",O_RDONLY,00) = 4 (0x4)
27161: 0.002000254 open("/usr/local/lib/libfreetype.so.9",O_RDONLY,027757765154) = 4 (0x4)
27161: 0.002534400 open("/lib/libz.so.4",…

Analisis de un Bug: 'imlib2' Library 'load()' CVE-2008-5187

Imagen
Bueno toda esta mania surgio de cuando trate de instalar enlightenment sencillamente me decia que habia un bug en alguna dependecia de este, y no me dejaba instalarlo hasta que actualizara o aplicara el parche.

Mas Info:

FreeBSD: Problema con imlib2-1.4.1.000 (Solucion)


CVE-2008-5187

Advisor Original:

Código: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=505714
Antecedentes

Imlib2 es el succesor de Imlib, Esto no es una nueva version, solo es una bibliotecas totalmente nueva. Imlib2 puede ser completamente instalado aun existiendo Imlib 1.x esto sin ningun problema, ya que efectivamente son diferentes bibliotecas pero con funciones muy similares.
Si bien no forma estrictamente parte de la EFL, la biblioteca es utilizada imlib2 por la EFL para el manejo, visualización y manipulación de gráficos a bajo nivel. Es capaz de cargar y manipular archivos de gráficos de muchos formatos, y también es capaz de mostrar en un X Window System. Los desarrolladores cuentan con imlib2 que es muy optimizado.

FreeBSD: Problema con imlib2-1.4.1.000 (Solucion)

Imagen
Bien, instalando enlightenment, me sale el error de la dependia antes mencionada,  imlib2-1.4.1.000, esto desde los ports

Citar # cd /usr/ports/graphics/imlib2
# make
===>  imlib2-1.4.1.000,2 has known vulnerabilities:
=> imlib2 -- XPM processing buffer overflow vulnerability.
   Reference: <http://www.FreeBSD.org/ports/portaudit/910486d5-ba4d-11dd-8f23-0019666436c2.html>
=> Please update your ports tree and try again.
*** Error code 1

Stop in /usr/ports/graphics/imlib2.
*** Error code 1

Stop in /usr/ports/graphics/imlib2.
Version del sistema:

Código: # uname -a
FreeBSD  7.0-RELEASE FreeBSD 7.0-RELEASE #2: Mon Nov 24 09:02:58 UTC 2008     root@:/usr/src/sys/i386/compile/VGN-N350  i386


Ahora El problema no es que no la pueda instalar, dice que es un problema de seguridad:
Citar imlib2 -- XPM processing buffer overflow vulnerability.
   Reference: <http://www.FreeBSD.org/ports/portaudit/910486d5-ba4d-11dd-8f23-0019666436c2.html>
Si me voy a la pagina de los ports, vemos que ya esta act…
En Windows Vista el cliente de telnet no está instalado por defecto. Si queremos usarlo tendremos que marcarlo en Inicio -> Panel de Control -> Programas -> Activar o desactivar las características de Windows.

Ahi buscamos en la lista Telnet u algun otro cliente que queramos.

Esto lo menciono por que se me ha hecho muy dificil poner NC en algunas computadoras por los antivirus.

En sistemas Unix/Linux el NC viene generalmente de forma predeterminada.