La chiave di volta dell’intero discorso è che, una volta rilasciata la release, gli aggiornamenti non si fanno affatto, a meno che non riguardino vulnerabilità di sicurezza o bug particolarmente significativi.
Addirittura, nell’ottica di stabilizzare la release, già durante le ultime fasi di sviluppo l’ingresso di nuovi pacchetti dei vari software è sottoposto ad un controllo particolarmente rigido (una fase nota agli sviluppatori come “Feature Freeze”, appunto).
Gli aggiornamenti proposti a continuazione fanno parte del bollettino di sicurezza settimanale rilasciato da Canonical e riguardano in particolare i primi aggiornamenti importanti sulla sicurezza riguardanti la neonata Ubuntu 13.10 Saucy Salamander
1.- Genera automaticamente segnalazioni di crash per il debug:
Questo pacchetto fornisce anche una interfaccia a riga di comando per la navigazione e la gestione dei rapporti di crash. Per i desktop, si dovrebbe prendere in considerazione l'installazione dell'interfaccia GTK+ o Qt (apport-gtk o apport-kde).
Modifiche per le versioni:
Versione installata: 2.6.1-0ubuntu10
Versione disponibile: 2.6.1-0ubuntu13
Versione 2.6.1-0ubuntu13:
* SECURITY UPDATE: incorrect permissions on setuid process core dumps
(LP: #1242435)
- use correct permissions when writing the core file in data/apport,
added test to test/test_signal_crashes.py.
- Thanks to Martin Pitt for the patch!
- CVE-2013-1067
Versione 2.6.1-0ubuntu12:
* Enable suid_dumpable (core dumps of setuid binaries). This has
always been safe for us, as we set a core pipe handler, but the
kernel now protects against one not being set:
http://kernel.ubuntu.com/git?p=ubuntu/ubuntu-
raring.git;a=blob;f=Documentation/sysctl/fs.txt;h=88152f214f48cb69c6
43d4bf2ff2ac9a61ad2eb0;hb=HEAD (LP: #1194541).
Versione 2.6.1-0ubuntu11:
* data/general-hooks/ubuntu.py: For package installation failures, build a
DuplicateSignature from the package, version, and dpkg ErrorMessage,
instead of using the whole dpkg terminal log. (LP: #1185515)
2.- Interfaccia GTK+ per il sistema di gestione dei crash Apport:
Questo pacchetto fornisce un'interfaccia GTK+ per consultare e gestire i rapporti dei crash.
Modifiche per le versioni:
Versione installata: 2.6.1-0ubuntu10
Versione disponibile: 2.6.1-0ubuntu13
Versione 2.6.1-0ubuntu13:
* SECURITY UPDATE: incorrect permissions on setuid process core dumps
(LP: #1242435)
- use correct permissions when writing the core file in data/apport,
added test to test/test_signal_crashes.py.
- Thanks to Martin Pitt for the patch!
- CVE-2013-1067
Versione 2.6.1-0ubuntu12:
* Enable suid_dumpable (core dumps of setuid binaries). This has
always been safe for us, as we set a core pipe handler, but the
kernel now protects against one not being set:
http://kernel.ubuntu.com/git?p=ubuntu/ubuntu-
raring.git;a=blob;f=Documentation/sysctl/fs.txt;h=88152f214f48cb69c6
43d4bf2ff2ac9a61ad2eb0;hb=HEAD (LP: #1194541).
Versione 2.6.1-0ubuntu11:
* data/general-hooks/ubuntu.py: For package installation failures, build a
DuplicateSignature from the package, version, and dpkg ErrorMessage,
instead of using the whole dpkg terminal log. (LP: #1185515)
3.- Semplice sistema di comunicazione tra i processi (dipendenze X11):
Questo pacchetto contiene l'utilità dbus-launch necessaria per i pacchetti che utilizzando un bus di sessione D-Bus.
See the dbus description for more information about D-Bus in general.
Modifiche per le versioni:
Versione installata: 1.6.4-1ubuntu4
Versione disponibile: 1.6.4-1ubuntu4.1
Versione 1.6.4-1ubuntu4.1:
* SECURITY UPDATE: denial of service via _dbus_printf_string_upper_bound()
length.
- debian/patches/CVE-2013-2168.patch: use a copy of va_list in
dbus/dbus-sysdeps-unix.c, dbus/dbus-sysdeps-win.c, added test to
test/Makefile.am, test/internals/printf.c.
- CVE-2013-2168
4.- File indipendenti dall'architettura per Evolution Data Server:
Il server dei dati, chiamato "Evolution Data Server" è responsabile della gestione delle informazioni su calendario e rubrica.
Questo pacchetto contiene i file indipendenti dall'architettura necessari al pacchetto evolution-data-server.
Modifiche per le versioni:
Versione installata: 3.6.2-0ubuntu0.1
Versione disponibile: 3.6.4-0ubuntu0.1
Versione 3.6.4-0ubuntu0.1:
* New upstream release. (LP: #1158354)
- Crash in Contacts calendar backend (LP: #1039594)
- Empty name selector dialog on open (LP: #1072442)
5.- Archive Manager per Gnome:
File-roller is an archive manager for the GNOME environment. It allows you to:
* Create and modify archives.
* View the content of an archive.
* View a file contained in an archive.
* Extract files from the archive. File-roller supports the following formats:
* Tar (.tar) archives, including those compressed with
gzip (.tar.gz, .tgz), bzip (.tar.bz, .tbz), bzip2 (.tar.bz2, .tbz2),
compress (.tar.Z, .taz), lzip (.tar.lz, .tlz), lzop (.tar.lzo, .tzo),
lzma (.tar.lzma) and xz (.tar.xz)
* Zip archives (.zip)
* Jar archives (.jar, .ear, .war)
* 7z archives (.7z)
* iso9660 CD images (.iso)
* Lha archives (.lzh)
* Single files compressed with gzip (.gz), bzip (.bz), bzip2 (.bz2),
compress (.Z), lzip (.lz), lzop (.lzo), lzma (.lzma) and xz (.xz) File-roller doesn't perform archive operations by itself, but relies on standard tools for this.
Modifiche per le versioni:
Versione installata: 3.6.1.1-0ubuntu1.1
Versione disponibile: 3.6.1.1-0ubuntu1.2
Versione 3.6.1.1-0ubuntu1.2:
* SECURITY UPDATE: file overwrite via incorrect path sanitization
- debian/patches/CVE-2013-4668.patch: properly sanitize filenames in
src/fr-archive-libarchive.c, src/fr-window.c, src/glib-utils.c,
src/glib-utils.h.
- CVE-2013-4668
Se ti è piaciuto l'articolo , iscriviti al feed cliccando sull'immagine sottostante per tenerti sempre aggiornato sui nuovi contenuti del blog: