*BSD news from the past

Bron: [url=http://zdnews.com]ZDNews[/url]

Door een bug in de zlib library kan de geheugen huishouding het doelwit zijn van exploits die over niet al te lange tijd verwacht worden. Zlib zit zowel in linux als in *BSD en Solaris.

[quote]”Zlib is used on all sorts of operating systems: the BSDs and even Solaris,” Cox said. “While any operating system that uses the library is affected, the ability to exploit the vulnerability depends on the operating system.”
[/quote]

[url=http://zdnet.com.com/2100-1104-857031.html]Lees artikel[/url]

Bron: [url=http://www.zdnet.nl]ZDNet.nl[/url]

Knipperende indicatielampjes verraden inhoud dataverkeer
Door de knipperlichtjes op computerapparatuur in de gaten te houden, hebben Amerikaanse wetenschappers een methode gevonden om dataverkeer op netwerkapparatuur af te luisteren. De spionagemethode is verrassend accuraat, maar makkelijk te dwarsbomen.

Gebruikers van externe modems tot een snelheid van 56 K lopen volgens Loughry het meeste gevaar om te worden afgeluisterd. Kabel- en adsl-modems zijn veilig. Ook netwerken die op relatief lage snelheid werken, zoals die waarmee banken met hun pinautomaten communiceren, zijn gevoelig voor optische afluisterpraktijken. Sommige data-encryptie-onderdelen van pinautomaten zenden hun data via LED’s zelfs in onversleutelde vorm uit. Hoge-snelheidsnetwerken, zoals kantoornetwerken, zijn relatief veilig.

[url=http://www.zdnet.nl/News.cfm?id=16063]Het Artikel[/url]

Bron: [url=http://www.newsforge.com/]NewsForge[/url]

Als antwoord op de recent gevonden bugs in PHP heeft een team van 4 OpenBSD gebruikers een project opgezet om PHP 4.1.2 helemaal na te kijken. Er zijn al patches om mee te testen.

[quote]Because PHP is a critical piece of the hosting service puzzle, the PHP audit project has been started in order to harden the PHP interpreter against known and unknown vunlerabilities. We are also trying to add some enhancements for the OpenBSD operating system, without breaking the portability to other systems.
[/quote]

[url=http://phpaudit.42-networks.com/]Link[/url]

Bron: [url=http://news.zdnet.co.uk]ZDNews UK[/url]

Het is alleen nog maar een kwestie van tijd voordat “worms” gemaakt worden die de nieuw ontdekte “gaten” in PHP gaan misbruiken, zeggen de deskundigen. Met miljoenen sites die hier nog niet tegen beveiligd zijn, het kan weer een Code Red worden.

[img]http://www.bsdfreaks.nl/images/pics/php-bug.jpg[/img]

[quote]With a survey estimating that a million Web sites are vulnerable to a set of newly discovered scripting flaws, security experts are predicting that a worm that uses the software bugs to spread could be on the way.

As previously reported, the flaws occur in Web server modules using the Personal Homepage scripting language, more commonly known as PHP. The language is widely used among sites built on open-source software and allows such sites to create Web pages on the fly.
[/quote]
[url=http://news.zdnet.co.uk/story/0,,t272-s2105532,00.html]Link[/url]

In Openssh is een security bug gevonden, dus update je SSH versie.
Volg de link en volg de instructies.
[quote]
II Problem Description

OpenSSH multiplexes `channels’ over a single TCP connection in order
to implement X11, TCP, and agent forwarding. An off-by-one error in
the code which manages channels can result in a reference to memory
beyond that allocated for channels. A malicious client or server may
be able to influence the contents of the memory so referenced.

III. Impact

An authorized remote user (i.e. a user that can successfully
authenticate on the target system) may be able to cause sshd to
execute arbitrary code with superuser privileges.

A malicious server may be able to cause a connecting ssh client to
execute arbitrary code with the privileges of the client user.
[/quote]

[url=ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02%3A13.openssh.asc]Link[/url]

Bron: [url=http://daemonnews.org]Daemon News[/url]

Veel mensen denken dat Unix niet zo veilig is als andere besturings systemen. Vooral de gratis varianten, denken ze. Aangezien Unix een van de meest geteste netwerk stacks heeft, dit geldt ook voor de gratis OS-en zoals FreeBSD en OpenBSD, is dit dus een foute gedachte.

Volg de onderstaande link en lees hier meer over.
[url=http://daemonnews.org/200203/multilayersec.html]Link[/url]

[quote]Any out-of-box OS must be considered relatively insecure (low trust). The only way to reliably maximize the trust of a system or network is to develop a strict security policy, and religiously follow the rules in your policy when configuring any node. Read O’Reilly & Associates’ Practical UNIX & Internet Security for some good guidelines to follow when developing your own policy. The Site Security Handbook (RFC 2196) is also a suggested read.
[/quote]

Bron: [url=http://www.osnews.com]OSNews.com[/url]

David Chaster heeft de Xft library gehacked en heeft daarmee een ongelovelijk goede kwaliteit antialias rendering bereikt onder XFree86. Met deze “hack” kan XFree eindelijk vergelijkbare rendering kwaliteit leveren als MacOSX en Windows engines.
Volg de onderstaande link om screenshots van “ervoor” en “erna” te bekijken.

[url=http://www.cs.mcgill.ca/~dchest/xfthack/]Link[/url]

ClosedBSD is, net als FreeSCO, router software met firewall waarbij je geen hardeschijf nodig hebt.

[quote]ClosedBSD is a firewall and network address translation utility which boots off of a single floppy disk, and requires no hard drive. ClosedBSD is based off of the FreeBSD kernel, and uses ipfw as its native ruleset management system, and natd as it’s network address translation utility.
[/quote]

[img]http://www.bsdfreaks.nl/images/pics/1.gif[/img]

Voor meer informatie ga naar [url=http://www.closedbsd.org/]ClosedBSD.org[/url]

Source: [url=http://www.newsforge.com/]NewsForge[/url]

[quote]Mozilla 9.9 is on its way. MozillaQuest Magazine (MozillaQuest.com) reports: “The Mozilla developers cut the 0.9.9 milestone branch yesterday — a week behind schedule. Mozilla 0.9.9 is the last planned milestone before the scheduled April 2002 Mozilla 1.0 release…. The good news of course is … there will be a Mozilla 1.0 soon. However, some in the Mozilla community question whether … Mozilla 1.0 should be released in April 2002. Two major concerns are that there are too many open bugs and that Mozilla lacks some essential features.” … “Not including enhancement-request bugs, the Mozilla bug-targeting schema anticipates leaving some 8,600 unfixed, targeted, problem-bugs in Mozilla 1.0 when it is released… Many … Mozilla bugs are in that underlying application programming framework — the Mozilla APIs if you like. That means that any third party developers that build programs on top of the Mozilla … framework will be building on top of a buggy foundation — not a pretty picture.”
[/quote]

Oracle en MySQL winnen eWeek database benchmark!
De goede performance van MySQL 4.0.1 was voor een belangrijk deel toe te schrijven aan de nieuwe query cache die in 4.0.1 werd geïntroduceerd. De query cache kan identieke queries direct vanuit geheugen beantwoorden mits de inhoud van de betreffende tabellen niet is gewijzigd sinds de laatste keer dat de query werd uitgevoerd. Versie 4.0.1 heeft overigens nog de alpha status.

[quote]Overall, Oracle9i and MySQL had the best performance and scalability, with Oracle9i just very slightly ahead of MySQL for most of the run. ASE, DB2, Oracle9i and MySQL finished in a dead heat up to about 550 Web users. At this point, ASE’s performance leveled off at 500 pages per second, about 100 pages per second less than Oracle9i’s and MySQL’s leveling-off point of about 600 pages per second. DB2’s performance dropped substantially, leveling off at 200 pages per second under high loads.
[/quote]

[img]http://athena.tweakers.net/ext/i.dsp/1014830697.gif[/img]