TUXLAND

“Il team che si occupa dello sviluppo di OpenSUSE 11.1 ha scoperto durante i test della versione beta 1 di OpenSUSE 11.1 e di SUSE Linux Enterprise 11.1 beta 1 di un bug pericolosissimo.
In poche parole, sembra proprio che il driver Intel e1000e provochi dei danni irreversibili sulla scheda di rete del proprio pc.
E’ dunque sconsigliato dal team stesso di evitare di installare OpenSUSE 11.1 beta 1 e SUSE Linux Enterprise su sistemi con hardware Intel e1000e fino a quando non verrà risolto il problema.”
Questo problema però non è circoscritto solo a SUSE ma bensì a tutte quelle distribuzioni che fanno uso del kernel 2.6.27RCx. Questo kernel a quando dato sapere si divertirebbe ad ammazzare le schede di rete Intel e1000e e solo quelle.
Il problema è dovuto al supporto in scrittura del driver nel kernel, che consente l’accesso all’eprom della scheda di rete. Altre distribuzioni hanno osservato lo stesso problema, ad esempio Ubuntu come potete leggere qui (https://bugs.launchpad.net/ubuntu/+source/linux/+bug/263555) e anche mandriva che proprio in queste ore dovrebbe rilasciare la RC2 della versione autunno-inverno 2009.
Per quando riguarda Mandriva, si apprende dal loro sito che hanno deciso di intervenire immediatamente in modo radicale disabilitando le funzioni che mettono a repentaglio le schede di rete Intel e1000e e solo quelle, anche se non è chiaro se questa modifica sarà già presente nella RC2 o se visto l’imminente arrivo ne verrà ritardato il rilascio.
Per  MANDRIVA quindi si sconsiglia a tutti i possessori di questo tipo di schede di rete di installare la versioni RC1 della Mandriva 2009.0 in quanto provvista del famigerato kernel 2.6.27 RCx
Mentre, la Mandriva 2009.0 RC2 sarà rilasciata con il nuovo kernel in cui il supporto per le schede e1000e viene disabilitato.
Per quando invece riguarda direttamente il Kernel e questo pericolo bug vi invito a controllare sempre prima di installare una distro nuova la presenza o meno di tale kernel 2.6.27RCx, in attesa che venga risolto.

Vulnerabilità di grado elevato scovata all’interno di VLC vers. 0.8.6 h.
La vulnerabilità rilevata da Secunia è rappresentata da un errore di tipo integer overflow all’interno della funzione Open( ) in modules/demux/wav.c; un file WAV opportunamente studiato, potrebbe così sfruttare tale falla per generare un heap-based buffer overflow. Una volta ottenuto l’exploit, un utente malintenzionato diverrebbe in grado di eseguire codice arbitrario all’interno della macchina posta sotto attacco. Si è in attesa dell’imminente uscita della versione 0.8.6 i che dovrebbe correggere questo bug.