Univention Corporate Server 1.3-1 Sicherheits-Update 1

german
announcement

#1

In dem am 26.05.2006 für Sie zum Download bereitgestellten Security-Update befinden sich Patches für Sicherheitslücken verschiedener Pakete für UCS und UGS 1.3-1.

Eine vollständige Beschreibung der Änderungen und der Vorgehensweise zum direkten oder manuellen Download, sowie zum Einspielen der Aktualisierungen haben wir für Sie auf unsere Website hinterlegt:

univention.de/updates/security

Hinweise zur Installation des Security-Updates:
[ul]
[li]Das Einspielen von Security-Updates ist im aktuellen Handbuch (Version 1.2) im Abschnitt 6.2 - UCS Security Updates dokumentiert.
[/li]
[li]Das Security-Update sollte mit dem folgenden Befehl auf den UCS Systemen installiert werden.

univention-actualise --dist-upgrade 

Im Kern entspricht das Vorgehen einem apt-get dist-upgrade. Die zusätzlichen Optionen stellen sicher, dass die Pakete mit den von Univention getesteten Vorgaben installiert werden.
[/li]
[li]Da in diesem Security-Update der Kernel aktualisiert wird, ist ein Neustart des System erforderlich. Dieser kann zeitlich unabhängig vom Einspielen der Pakete erfolgen. Sie können dazu z.B. Univention Console oder an der Kommandozeile den Befehl reboot verwenden.[/li][/ul]
Die betroffenen Pakete in der Übersicht:

Updates:
[ul]
[li]Univention Updater
Bei einem Update auf 1.3-1 wurde das Security Patchlevel nicht korrekt gesetzt. Dieser Fehler wurde behoben.[/li][/ul]

Sicherheitsaktualisierungen:
[ul]
[li]X.org
Ein Bufferoverflow in der Render Engine von X.org wurde beseitigt.

CVE-Kennziffern: CVE-2006-1526
[/li]
[li]Xpdf
Ein Integeroverflow in xpdf wurde beseitigt.

CVE-Kennziffern: CVE-2006-0301
[/li]
[li]Mozilla Firefox
Mozilla Firefox ist auf Version 1.0.8 aktualisiert worden. Die neue Version behebt zwei Sicherheitslücken, die unter bestimmten Umständen das Ausführen von Code ermöglichen.

CVE-Kennziffern: CVE-2006-0292 CVE-2006-0295
[/li]
[li]Linux Kernel 2.6
Im 2.6er Linux Kernel wurden zahlreiche Sicherheitsprobleme beseitigt.

CVE-Kennziffern: CVE-2006-1242 CVE-2006-1522 CVE-2006-1525 CVE-2006-1527 CVE-2006-2071 CVE-2006-2271 CVE-2006-2272 CVE-2006-1056 CVE-2006-0557

[/li]
[li]Linux Kernel 2.4
Im 2.4er Linux Kernel wurde ein Sicherheitsproblem auf AMD CPUs behoben.

CVE-Kennziffern: CVE-2006-1056
[/li]
[li]Tiff
Mehrere Sicherheitslücken in tiff wurden beseitigt, u.a. Integer Overflow und das Ausführen von beliebigen Code unter bestimmten Umständen.

CVE-Kennziffern: CVE-2006-2024 CVE-2006-2025 CVE-2006-2026 CVE-2006-2120
[/li]
[li]ClamAV
Eine Sicherheitslücke, die zu einem DoS (Denial of Service) führen kann wurde beseitigt.

CVE-Kennziffern: CVE-2006-1989
[/li]
[li]GDM
Ein Sicherheitsproblem im GDM wurde beseitigt, wodurch ein Benutzer erweiterte Rechte bekommen konnte.

CVE-Kennziffern: CVE-2006-1057
[/li]
[li]libnasl
Ein Fehler in der libnasl Bibliothek wurde beseitigt, wodurch ein entsprechender Daemon zum Absturz gebracht werden konnte

CVE-Kennziffern: CVE-2006-2093
[/li]
[li]OpenVPN
OpenVPN erlaubte es in früheren Versionen Umgebungsvariablen dem Client zu übertragen, dieses Problem wurde behoben.

CVE-Kennziffern: CVE-2006-1629
[/li]
[li]MySQL
Drei Sicherheitslücken in MySQL wurden beseitigt, u.a. das Umgehen von Logging.

CVE-Kennziffern: CVE-2006-1517 CVE-2006-1516 CVE-2006-0903
[/li]
[li]Cyrus-SASL
Ein Fehler im cyrus-sasl2 Paket, der zu einem DoS (Denial of Service) führen kann, wurde beseitigt.

CVE-Kennziffern: CVE-2006-1721
[/li]
[li]Cyrus IMAPD
Zwei Sicherheitslücken im cyrus22-imapd Paket wurden beseitigt, wodurch Benutzer mehr Daten lesen konnten als ihnen zugeteilt waren.
[/li]
[li]Ethereal
Mehrere Verwundbarkeiten in dem Netzwerk Analyse Tool ethereal wurden entfernt.

CVE-Kennziffern: CVE-2006-1932 CVE-2006-1933 CVE-2006-1934 CVE-2006-1935 CVE-2006-1936 CVE-2006-1937 CVE-2006-1938 CVE-2006-1939 CVE-2006-1940
[/li]
[li]Xine-UI
Ein Fehler im Programme xine-ui wurde beseitigt, durch den das Ausführen von Code möglich war.

CVE-Kennziffern: CVE-2006-1905
[/li]
[li]Nagios
Ein Bufer-Overflow in den CGI Skripten von nagios wurde beseitigt

CVE-Kennziffern: CVE-2006-2162
[/li]
[li]Univention Admin
Rekursives Löschen mit Univention Admin konnte mehr Objekte entfernen als ausgewählt wurden. Dieser Fehler wurde behoben.
[/li]
[li]Ruby
ruby1.8 nutzt nun keine blockierenden Sockets mehr, wodurch eine DoS Attacke verhindert wird

CVE-Kennziffern: CVE-2006-1931[/li][/ul]


#2