„Entschuldigung für die vielen Security Fixe“

Aus der Schmunzelecke von Fedora … könnte man meinen …

Update Chromium to 99.0.4844.51. Fixes, well, a LOT of security bugs. Sorry
about that.  CVE-2021-22570 CVE-2022-0096 CVE-2022-0097 CVE-2022-0098
CVE-2022-0099 CVE-2022-0100 CVE-2022-0101 CVE-2022-0102 CVE-2022-0103
CVE-2022-0104 CVE-2022-0105 CVE-2022-0106 CVE-2022-0107 CVE-2022-0108
CVE-2022-0109 CVE-2022-0110 CVE-2022-0111 CVE-2022-0112 CVE-2022-0113
CVE-2022-0114 CVE-2022-0115 CVE-2022-0116 CVE-2022-0117 CVE-2022-0118
CVE-2022-0120 CVE-2022-0789 CVE-2022-0790 CVE-2022-0791 CVE-2022-0792
CVE-2022-0793 CVE-2022-0794 CVE-2022-0795 CVE-2022-0796 CVE-2022-0797
CVE-2022-0798 CVE-2022-0799 CVE-2022-0800 CVE-2022-0801 CVE-2022-0802
CVE-2022-0803 CVE-2022-0804 CVE-2022-0805 CVE-2022-0806 CVE-2022-0807
CVE-2022-0808 CVE-2022-0809

… ist es aber nicht 🙁

„Entschuldigung für die vielen Security Fixe“

Der Hintergrund ist, daß vor einigen Tagen festgestellt wurde, daß Chromium bei Securityfixen weit hinten lag bei Fedora, weil wichtige Security-Fixe nicht durch Updates verteilt wurden. Der Maintainer war leider nicht so aktiv, wie es das Projekt erfordert.

Das wurde nun offensichtlich von Tom nachgeholt, der in der Vergangenheit eigentlich als sehr aktiver Maintainer aufgefallen war. Man weiß nicht, was dazu führte und spekulieren will ich da auch nicht.

Ich fordere analog zum Sysadmin-Tag noch den Maintainer-Tag einzuführen. Wer nicht so lange warten will, kann seinen Lieblingsmaintainern ja auch einfach mal ein dickes „Thank You“ per Email schicken, was deutlich zur Langzeitmotivation der Menschen beiträgt, die für uns die Arbeit machen!

Und so kommt man die Mailadressen ran

Unter Fedora ist das relativ einfach: Entweder Ihr abonniert die Package-Announce Mailingliste „package-announce@lists.fedoraproject.org“ oder Ihr schaut ins Changelog des Pakets auf Eurem PC rein:

# rpm -qi –changelog httpd | grep „@“ | head -n 1
* Do Okt 07 2021 Patrick Uiterwijk <patrick@puiterwijk.org> – 2.4.51-1

Ich glaube, den muß ich auch mal motivieren 😀

Fedora: Thunderbirdupdate 91.6.2 hängt, ist aber bereit

Das Thunderbird Update für die aktuelle Remote-Code-Execution Schwachstelle ist seit (jetzt) 18h fertig, wird aber nicht an die User ausgeliefert, obwohl es ein Critpath Update ist.

Fedora: Thunderbirdupdate 91.6.2 hängt, ist aber bereit

Wer sich zeitnah schützen will, findet die nötigen Anweisungen hier:

Fedora 34:

sudo dnf update https://kojipkgs.fedoraproject.org//packages/thunderbird/91.6.2/1.fc34/x86_64/thunderbird-91.6.2-1.fc34.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/thunderbird/91.6.2/1.fc34/x86_64/thunderbird-librnp-rnp-91.6.2-1.fc34.x86_64.rpm

Fedora 35:

sudo dnf update https://kojipkgs.fedoraproject.org//packages/thunderbird/91.6.2/1.fc35/x86_64/thunderbird-91.6.2-1.fc35.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/thunderbird/91.6.2/1.fc35/x86_64/thunderbird-librnp-rnp-91.6.2-1.fc35.x86_64.rpm

Fedora Status: 4x Xorg LPE Schwachstellen

Moin,

kleines Statusupdate für Fedora für die 4 Xorg Local Privilege Escalation Schwachstellen.

Fedora Status: 4x Xorg LPE Schwachstellen

Da es irgendwie wichtig zu sein scheint über den Stand der X11 Patche bei Distributionen zu berichten, hier der Stand für Fedora: Pakete fertig und im automatischen Test befindlich.

Um diese Lücken gehts:

Wer die jetzt schon einspielen und austesten möchte, bitte sehr:

Fedora 34: https://koji.fedoraproject.org/koji/search?terms=xorg-x11-server-Xwayland-21.1.4-1.fc34&type=build&match=exact

Fedora 35: https://koji.fedoraproject.org/koji/search?terms=xorg-x11-server-Xwayland-21.1.4-1.fc35&type=build&match=exact