Kirjoittaja Aihe: Ubuntussa GnuPG haavoittuvuus eikä päivitystä missään!  (Luettu 3923 kertaa)

Clouseau

  • Käyttäjä
  • Viestejä: 11
    • Profiili
Ununtussa 8.04 on vanha haavoittunut versio 1.4.6 GnuPG:sta eikä uusia päivityksiä ole saatavilla.

http://lists.gnupg.org/pipermail/gnupg-announce/2008q1/000272.html
http://www.cert.fi/haavoittuvuudet/2008/haavoittuvuus-2008-40.html

Yritin asentaa Debianin GnuPG 1.4.9 pakettia, mutta tämä herjaa ristiriitoja Seahorsen osalta. No Seahorse taas on pelkkä salasanojen  ja avaintenhallinta GUi, joten miten ihmeessä tähän Ubuntuun saa noita tietoturvapäivtyksiä ja minä vuonna niitä tulee jakeluun? Nykyinen versio on niinkin vanha kuin 2006-12-06. Tämähän on ihan Windows  ???

Joten - mitä päivitän ja miten?




eliasj

  • Käyttäjä
  • Viestejä: 4075
    • Profiili
Vs: Ubuntussa GnuPG haavoittuvuus eikä päivitystä missään!
« Vastaus #1 : 26.06.08 - klo:16.59 »
Mikä Ubuntun versio sinulla on käytössä?

Miltä näyttää tiedostosi /etc/apt/sources.list?

Kyllä niiden tietoturvapäivitysten pitäisi valua suoraan pakettivarastoista.
alias vililikku

Clouseau

  • Käyttäjä
  • Viestejä: 11
    • Profiili
Vs: Ubuntussa GnuPG haavoittuvuus eikä päivitystä missään!
« Vastaus #2 : 26.06.08 - klo:17.05 »
Mikä Ubuntun versio sinulla on käytössä?

Miltä näyttää tiedostosi /etc/apt/sources.list?

Kyllä niiden tietoturvapäivitysten pitäisi valua suoraan pakettivarastoista.

Käytössä:
Ubuntu 8.04  Hardy Heron

Tässä sorsalista:
Koodia: [Valitse]
# deb cdrom:[Ubuntu 8.04 _Hardy Heron_ - Release i386 (20080423)]/ hardy main restricted
# See http://help.ubuntu.com/community/UpgradeNotes for how to upgrade to
# newer versions of the distribution.

deb http://fi.archive.ubuntu.com/ubuntu/ hardy main restricted
deb-src http://fi.archive.ubuntu.com/ubuntu/ hardy main restricted

## Major bug fix updates produced after the final release of the
## distribution.
deb http://fi.archive.ubuntu.com/ubuntu/ hardy-updates main restricted
deb-src http://fi.archive.ubuntu.com/ubuntu/ hardy-updates main restricted

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## universe WILL NOT receive any review or updates from the Ubuntu security
## team.
deb http://fi.archive.ubuntu.com/ubuntu/ hardy universe
deb-src http://fi.archive.ubuntu.com/ubuntu/ hardy universe
deb http://fi.archive.ubuntu.com/ubuntu/ hardy-updates universe
deb-src http://fi.archive.ubuntu.com/ubuntu/ hardy-updates universe

## N.B. software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu
## team, and may not be under a free licence. Please satisfy yourself as to
## your rights to use the software. Also, please note that software in
## multiverse WILL NOT receive any review or updates from the Ubuntu
## security team.
deb http://fi.archive.ubuntu.com/ubuntu/ hardy multiverse
deb-src http://fi.archive.ubuntu.com/ubuntu/ hardy multiverse
deb http://fi.archive.ubuntu.com/ubuntu/ hardy-updates multiverse
deb-src http://fi.archive.ubuntu.com/ubuntu/ hardy-updates multiverse

## Uncomment the following two lines to add software from the 'backports'
## repository.
## N.B. software from this repository may not have been tested as
## extensively as that contained in the main release, although it includes
## newer versions of some applications which may provide useful features.
## Also, please note that software in backports WILL NOT receive any review
## or updates from the Ubuntu security team.
# deb http://fi.archive.ubuntu.com/ubuntu/ hardy-backports main restricted universe multiverse
# deb-src http://fi.archive.ubuntu.com/ubuntu/ hardy-backports main restricted universe multiverse

## Uncomment the following two lines to add software from Canonical's
## 'partner' repository. This software is not part of Ubuntu, but is
## offered by Canonical and the respective vendors as a service to Ubuntu
## users.
deb http://archive.canonical.com/ubuntu hardy partner
deb-src http://archive.canonical.com/ubuntu hardy partner

deb http://security.ubuntu.com/ubuntu hardy-security main restricted
deb-src http://security.ubuntu.com/ubuntu hardy-security main restricted
deb http://security.ubuntu.com/ubuntu hardy-security universe
deb-src http://security.ubuntu.com/ubuntu hardy-security universe
deb http://security.ubuntu.com/ubuntu hardy-security multiverse
deb http://fi.archive.ubuntu.com/ubuntu/ hardy-proposed restricted main multiverse universe
deb-src http://security.ubuntu.com/ubuntu hardy-security multiverse

Pitäisikö tuolla olla vielä jotain?

vellu@vmach

  • Käyttäjä
  • Viestejä: 348
  • Kiroitusvirheitä jo vuodesta feisty
    • Profiili
Vs: Ubuntussa GnuPG haavoittuvuus eikä päivitystä missään!
« Vastaus #3 : 26.06.08 - klo:17.21 »
gnupg 1.4.6-2ubuntu5, julkaistu tammikuussa https://launchpad.net/ubuntu/hardy/+source/gnupg/1.4.6-2ubuntu5
Mitähän nuo numerot -2 ja 5 merkitsevät tuossa versioinnissa?

Clouseau

  • Käyttäjä
  • Viestejä: 11
    • Profiili
Vs: Ubuntussa GnuPG haavoittuvuus eikä päivitystä missään!
« Vastaus #4 : 26.06.08 - klo:17.47 »
MItä lienee Ubuntuun liittyviä käännösversionumeroita. Ainoa millä on merkitystä on todellinen versio GnuPG:stä joka on vuodelta 2006 (1.4.6)
http://www.gnupg.org/news.en.html

Tämähän idiotismi tästä puuttuisi, että Ununtu GnuPG 1.4.6 = GnuPG 1.4.9? Tai Ubuntu GnuPG 2.0.5 = 2.0.9.

Mites tämä nyt oikein on?

lompolo

  • Käyttäjä
  • Viestejä: 852
    • Profiili
Vs: Ubuntussa GnuPG haavoittuvuus eikä päivitystä missään!
« Vastaus #5 : 26.06.08 - klo:19.09 »
Lainaus
gnupg 1.4.6-2ubuntu5, julkaistu tammikuussa https://launchpad.net/ubuntu/hardy/+source/gnupg/1.4.6-2ubuntu5
Mitähän nuo numerot -2 ja 5 merkitsevät tuossa versioinnissa?

Hyvä kysymys. 2 on tässä tapauksessa alkuperäinen versio +debianin tekemät muutokset (toinen debianin versio). Muutosloki löytyy täältä:
http://packages.debian.org/changelogs/pool/main/g/gnupg/gnupg_1.4.9-2/changelog

5 on ubuntun muutokset kyseisten debianin muutosten jälkeen. Täältä löytyy linkki muutoslokiin:
http://packages.ubuntu.com/hardy/gnupg-udeb
En antanut suoraa linkkiä muutoslokiin, koska tuosta selviää jotain tärkeää. gnupg-udeb paketti on olemassa vain tekstipohjaista asennusta varten.

Ainoa millä on merkitystä on todellinen versio GnuPG:stä joka on vuodelta 2006 (1.4.6)

Tietoturvan kannalta on merkitystä, että vanhempaan versioon on lisätty paikat tietoturva-aukkoihin. En tiedä mitä olet tekemässä, mutta arvaan että haluamasi paketti on gnupg2.

juyli

  • Vieras
Vs: Ubuntussa GnuPG haavoittuvuus eikä päivitystä missään!
« Vastaus #6 : 26.06.08 - klo:19.48 »
Yritin asentaa Debianin GnuPG 1.4.9 pakettia, mutta tämä herjaa ristiriitoja Seahorsen osalta

Juttusi on jo hieman vanha :( Vaikka joskus Ubuntu-paketti ei olekaan uusin, on siihen jo päivitettynä
tarvittavia tietoturvakorjauksia.
Ubuntun virallinen versio lienee yhä mallia gnupg (1.4.6-2ubuntu5)
http://packages.ubuntu.com/hardy/gnupg
Toisaalta tarjolla on jo avoin ja patentoimaton versio gnupg2:
http://packages.ubuntu.com/hardy/gnupg2

Clouseau

  • Käyttäjä
  • Viestejä: 11
    • Profiili
Vs: Ubuntussa GnuPG haavoittuvuus eikä päivitystä missään!
« Vastaus #7 : 26.06.08 - klo:21.04 »
Yritin asentaa Debianin GnuPG 1.4.9 pakettia, mutta tämä herjaa ristiriitoja Seahorsen osalta

Juttusi on jo hieman vanha :( Vaikka joskus Ubuntu-paketti ei olekaan uusin, on siihen jo päivitettynä
tarvittavia tietoturvakorjauksia.
Ubuntun virallinen versio lienee yhä mallia gnupg (1.4.6-2ubuntu5)
http://packages.ubuntu.com/hardy/gnupg
Toisaalta tarjolla on jo avoin ja patentoimaton versio gnupg2:
http://packages.ubuntu.com/hardy/gnupg2
gnupg-udeb (1.4.6-2ubuntu5): OpenPGP Internet standard as described in RFC2440
Just just, mutta kun tänä päivänä pitäisi implementoida RFC4880 standardia. Vanhat ne tuntuvat Ubuntun paketit tosiaan olevan, joten jutut sen mukaan  ;)

Kertokaas nyt miten tämä Ubuntun versionumerointi menee, kun kerran ei noudata alkuperäisen sovelluksen versionumerointia? [http://www.gnupg.org/] Tämähän on täyttä pelleilyä, jos versionumeroinnit ovat keskenään ristiriidassa eivätkä keskenään analogisia. Eihän tässä Erkkikään ota selvää mitä sinulla oikeastaan on koneessa. Pahempaahan tuo on jos vanhoja pakettaja on päivitetty ja niitä jaellaan muka uusimpina. Tämähän on vallan typerää touhua. Lähdekoodit kyllä viittaavat vanhaan GnuPG versioon 1.4.6  antamassasi linkissä http://packages.ubuntu.com/hardy/gnupg-udeb, joten vanhahan tämän GnuPG:n täytyy olla tai dokumentointi pettää pahasti. Haavoittovuus on siis olemassa - muuta tulkintaa ei tässä voi tehdä.

GnuPG2 on vastaavasti vanhentunut JOS versionumerointia katsotaan - tätä pakettia en nyt kuitenkaan ole hakemassa, vaan GnuPG 1.4.9 versiota tai mikä se nyt oli Ubuntussa "GnuPG 1.4.6.-2-:235Kukkelis-Kuu6". Tuo Debian gnupg (1.4.9-2) kuullostaa ihan oikealta, mutta mikä tämän vastine on sitten Ubuntussa?

Clouseau

  • Käyttäjä
  • Viestejä: 11
    • Profiili
No joo - ei täällä sitten mitään tietoa asiasta tunnu olevan. Dokumentaatio antaa ymmärtää että lähde on GnuPgG 1.4.6 ja that's it. Vanha ja reikäinen sorsa pohjalla.

Vaihdoin Suse11:sta  ja siellä on kyllä GnuPG versiot kohdallaan eikä tarvii pelleillä versionumeroiden eikä varsinkaan surkean Seahorsen kanssa.
Lisäksi Ubuntu ei hanskannut lainkaan Intelin äänikorttia (Intel 82801DB-ICH4) , enkä koskaan saanut äänen ääntä koneesta ulos. Taitaa olla Pulseaudio aika Vista vielä. Ihme että tuollaista päästetään tämänlaiseen jakeluun. No sekin asia hoitui Susessa ilman yhtään säätämistä. Dual-head näytön asentaminen jäi myös täysin kesken. Tuokin on täysin toivotonta räpeltämistä.

Lopputulos selkeä 100 - 0 Suselle. Ubuntu meni nyt jäihin taas muutamaksi vuodeksi ja katsotaan sitten uudelleen, josko osataan apketoida sitä softaa kunnolla. Toivottavasti tunnus pysyy säilössä kun sitä vuonna 2010 tarviin taas kun ropaan jotain uutta ongelmaa uuden Ubuntun 10.4 kanssa. ;D

lompolo

  • Käyttäjä
  • Viestejä: 852
    • Profiili
No joo - ei täällä sitten mitään tietoa asiasta tunnu olevan. Dokumentaatio antaa ymmärtää että lähde on GnuPgG 1.4.6 ja that's it. Vanha ja reikäinen sorsa pohjalla.

Ehkä kukaan muukaan ei ole jaksanut vastata, kun et ole vastannut mihin tarvitset juuri tietyn versinumeron tietystä paketista. On ymmärrettävää, jos käyttäjällä on tarve vaikka salata tietoja. Jos taas haluaa tietyn version tietystä paketista, sen voi kääntää itse, mutta se ei ole tässä tapauksessa järkevää.

juyli

  • Vieras
Vs: Ubuntussa GnuPG haavoittuvuus eikä päivitystä missään!
« Vastaus #10 : 04.07.08 - klo:13.50 »
tätä pakettia en nyt kuitenkaan ole hakemassa, vaan GnuPG 1.4.9 versiota tai mikä se nyt oli Ubuntussa "GnuPG 1.4.6.-2-:235Kukkelis-Kuu6". Tuo Debian gnupg (1.4.9-2) kuullostaa ihan oikealta, mutta mikä tämän vastine on sitten Ubuntussa?

Debian Etch:in (Vakaa) gnupg on versio 1.4.6-2, joka on myös Ubuntussakin käytössä.
http://packages.debian.org/etch/gnupg
Jos Debianin vakaanversion ohjelmassa olisi jokin _vakava_ haavoittuvuus, olisi se varmasti korjattu. Yleensä versionumero ei suoraa kerro, mitä korjauksia tuo -2 taas merkitsee.
Tuo mainitsemasi gnupg 1.4.9-2 on yhä Debianin epävakaan (unstable-version) ohjelma, jota ei vakaaseen ole vielä tarjolla.
Kommenttia eri jakelujen eroista: Debian on aina ollut konservatiivinen ja pyrkinyt pitämään jakelun vakaudesta tiukasti kiinni. Ubuntu "paikkaa" tätä käyttämällä aika vapaasti Debianin epävakaata tai jopa testattavia ohjelmia. Joillakin muilla jakeluilla on muunlaisia tavoitteita, näistä ehkä Opensuse tai nimenomaan Fedora on hyviä esimerkkejä.
Lisäksi on muistutettava, että uusin Ubuntu ilmestyi huhtikuussa, kun taas Opensuse 11 on sitä uudempi, ja juuri siksi siinä on "vanhempia" jakeluja tuoreempia ohjelmia.

2xFedora 9, 1xFedora 9 x86_64, 2x Ubuntu 8.04 (Xubuntu), 1x Ubuntu 8.04 x86_64, 2x Opensuse 11, 1x Opensuse 11 x86_64, 2x ZenWalk 5.2
« Viimeksi muokattu: 04.07.08 - klo:14.12 kirjoittanut juyli »

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
No joo - ei täällä sitten mitään tietoa asiasta tunnu olevan.

johan sinulle selitettiin miten tuo versionumero koostuu. ilmeisesti tarkoituksena on vaan avautua turhasta ja jättää vastaukset huomiotta.

Dokumentaatio antaa ymmärtää että lähde on GnuPgG 1.4.6 ja that's it.

niinhän se versionumerokin sanoo. ei kai siinä mitään dokumentaatiota tarvitse lukea.

Vanha ja reikäinen sorsa pohjalla.

juu ja ne tiedossa oleva reijät on paikattu, joten itse paketti ei ole reikäinen. sen sijaan uudempiin versioihin on tullut uutta koodia joka saattaa sisältää uusia reikiä. näin ollen vanha jossa tiedossa olevat reijät on paikattu, on suuremmalla todennäköisuudellä turvallinen.

joitain käyttäjiä tosin vaivaa ainakin windows-puolelta tuttu "pakko saada uusin versionumero, vaikka en tiedä mitä muutoksia siinä on tai en edes tarvitse mitään toiminnallisuutta mitä vanhassa paketissa ei olisi"-syndrooma. distroon ja se ylläpitäjiin ei luoteta ja koneelle on pakko saada uusinta versionumeroa vakaudesta riippumatta. eipä sinänsä, tyyli sekin on ja niin saa elää jos siitä saa kiksinsä (eikä ylläpidä mitään tuotantokriittisiä ympäristöjä).

Vaihdoin Suse11:sta  ja siellä on kyllä GnuPG versiot kohdallaan eikä tarvii pelleillä versionumeroiden eikä varsinkaan surkean Seahorsen kanssa.

sinulla on nyt haluamasi versionumerot. hienoa, että löysit kaipaamiasi lukuja jostain distrosta.

Lopputulos selkeä 100 - 0 Suselle.

mukavaa, että löysit itsellesi sopivan distron. mitä sitä vaihtamaan kymmenenkään vuoden kuluttua, jos siihen ei tunnu olevan mitään syytä. ei ubuntu käyttäminen mikään itseisarvo ole, turha sitä väkisin on käyttää jos pitää jotain muuta parempana.
Janne

Jakke77

  • Käyttäjä
  • Viestejä: 3932
  • Oulu (Oinaansuo)
    • Profiili
Vs: Ubuntussa GnuPG haavoittuvuus eikä päivitystä missään!
« Vastaus #12 : 04.07.08 - klo:14.23 »
Lainaus
Toivottavasti tunnus pysyy säilössä kun sitä vuonna 2010 tarviin taas kun ropaan jotain uutta ongelmaa uuden Ubuntun 10.4 kanssa.

ehkä jos keskittysit muihin ongelmiin ja mainostasit tuota susen reuhkaa muualla
U_G_H

Aspire E5-575G V1.27 CPU: Intel i3-6100U (4) @ 2.300GHz GPU: Intel® HD Graphics 520 GPU: NVIDIA GeForce 940MX Samsung SSD 970 EVO Plus 500GB

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: Ubuntussa GnuPG haavoittuvuus eikä päivitystä missään!
« Vastaus #13 : 04.07.08 - klo:14.47 »
ehkä jos keskittysit muihin ongelmiin ja mainostasit tuota susen reuhkaa muualla

Oliko tuo ihan tarpeellinen kommentti? Niitä on muitakin jakeluja kuin ubuntu.
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Vs: Ubuntussa ei GnuPG haavoittuvuutta!
« Vastaus #14 : 04.07.08 - klo:14.58 »
Oliko tuo ihan tarpeellinen kommentti? Niitä on muitakin jakeluja kuin ubuntu.

minä suoraan sanottuna ihmettelen vähän koko säikeen tarpeellisuutta. kyseinen käyttäjä ei ole kirjoittanut tälle foorumille toistaiseksi muuta kuin tämän säikeen viestit joiden sisältö on ubuntun aiheetonta mustamaalaamista, ubuntun toimimattomuuden moittimista ja susen hehkuttamista.

toki jakeluja on olemassa vaikka kuinka, mutta niistä voi keskittyä keskustelemaan jossain muualla kuin ubuntu-foorumin 'ubuntun käyttö'-osiossa. 'Muut käyttöjärjestelmät ja Linux-jakelut'-osio tai joku ihan muu foorumi olisi varmasti sopiva.

Janne