Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail

[tomkat]

Supongo q muchos lo habreis recibido para los q no aqui lo posteo.
- Original Message -
From: Noticias Hispasec [EMAIL PROTECTED]
To: [EMAIL PROTECTED]
Sent: Tuesday, December 05, 2000 1:37 AM
Subject: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password
de KMail


 
  Hispasec - una-al-día   05/12/2000
  Todos los días una noticia de seguridad   www.hispasec.com
 

 Vulnerabilidad en el cifrado de la password de KMail
 
 KMail es un cliente de correo electrónico muy difundido porque forma
 parte del conocido entorno KDE. Desafortunadamente, tiene una grave
 vulnerabilidad que permite que cualquier persona con acceso de lectura
 al fichero de configuración pueda descifrar inmediatamente la
 contraseña de correo.

 La configuración de las cuentas se guarda en el fichero
 .kde/share/config/kmailrc, en el cual hay una entrada denominada
 passwd que guarda la contraseña para acceder al servicio POP3. Esta
 contraseña se guarda cifrada, pero el algoritmo de cifrado es tan
 simple que convierte en trivial la tarea de recuperarla. El algoritmo
 de cifrado puede expresarse como: E(c) = ASCII(287-ASCII(c))

 Por ejemplo,

 E(ñ) = ASCII(287-ASCII(ñ)) = ASCII(287-241) = ASCII(46) = .

 y

 E(kde) = E(k) E(d) E(e) =
 = ASCII(287-ASCII(k)) ASCII(287-ASCII(d)) ASCII(287-ASCII(e)) =
 = ASCII(287-107) ASCII(287-100) ASCII(287-101) =
 = ASCII(180) ASCII(187) ASCII(186) =
 = ´»º

 Evidentemente, este hecho supone una seria amenaza para la seguridad
 de las contraseñas cifradas. Afortunadamente, KMail por defecto no
 guarda la contraseña POP3 sino que para hacerlo hay que activar la
 opción Store password in config file. A la vista del método de
 cifrado utilizado, recomendamos encarecidamente no utilizar dicha
 opción, a pesar de la incomodidad que ello supone.

 Existe, además, el problema adicional de que al borrar una cuenta toda
 la información de ésta, incluída la contraseña débilmente cifrada,
 permanece en el fichero de configuración.

 Opina sobre esta noticia:
 http://www.hispasec.com/unaaldiacom.asp?id=772

 Más información:

 KDE
 http://www.kde.org/


 Julio César Hernández
 [EMAIL PROTECTED]


 
  (c) Hispasec, 2000  www.hispasec.com/copyright.asp
 

Trident 9750 y XFree 3.3.6

[Ruben Jañez]

Hola
Tengo una Trident 9750 con 4Mb de memoria y no consigo configurarla
bien.
Sistema:
Debian 2.2 Potato
XFree 3.3.6
Monitor LG 55i de 15'' 800*600 85 Hz y 1024*768 60Hz
configuro con xf86config para que salgan todos los modelines
No consigo que funcione bien mas que a 640x480 y a 800*600 72 Hz y se ve

muy mal
el resto de modos hace que el monitor se desconecte

Alguien tiene una respuesta a mis preguntas?

Gracias por adelantado

Nota: el ordenador con Linux es el de casa y escribo desde la
universidad donde no son tan sensibles al movimiento
GNU...
Si necesitais trozos de la salida de algo los puedo  enviar, pero me
parecen normales y sin errores aparentes

Re: Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail

[Mario Teijeiro Otero]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

El Mar 05 Dic 2000 04:03, tomkat escribió:
- --
 
  Vulnerabilidad en el cifrado de la password de KMail
  
  KMail es un cliente de correo electrónico muy difundido porque forma
  parte del conocido entorno KDE. Desafortunadamente, tiene una grave
  vulnerabilidad que permite que cualquier persona con acceso de lectura
  al fichero de configuración pueda descifrar inmediatamente la
  contraseña de correo.
 

Yo no lo veo como una vulnerabilidad. Veamos, sólamente puede conseguir
la clave quien tenga derecho de lectura al fichero ~/.kde/share. En el 
caso de que alguien tenga derecho a ese fichero sin que sea el usuario, la
vulnerabilidad no es del kmail, si no del administrador de la máquina.

Si no, el fetchmail, tb tendría una vulnerabilidad si cabe un poco más 
grabe, porque no se molesta ni en aplicarle un algoritmo (ni siquiera tan 
simple) para ocultar la lectura de ésta.

- -- 
 void practical_c(void){windows2000=++PC; linux=PC++;} 
Yo uso software libre (declaración a petición de Richard M. Stallman)

Mario Teijeiro Otero   mailto:asimovi at teleline dot es 
clave: correo con Asunto: [PGPKEY] Usr. Reg. 122438   

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.0.4 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE6LOAWMKsc+XeZcdwRAgv+AJ9GsJGmRyxs+4l0nPXsXGHJ6iwZeQCfU+/e
4FAyrvmoL9Ye8yy6i8OBguY=
=akWD
-END PGP SIGNATURE-

Re: Fw: una-al-dia (05/12/2000) Vulnerabilidad en el cifrado de la password de KMail

[José Esteban]

Hola.

Mario Teijeiro Otero wrote:


-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

El Mar 05 Dic 2000 04:03, tomkat escribió:
- --


Vulnerabilidad en el cifrado de la password de KMail

KMail es un cliente de correo electrónico muy difundido porque forma
parte del conocido entorno KDE. Desafortunadamente, tiene una grave
vulnerabilidad que permite que cualquier persona con acceso de lectura
al fichero de configuración pueda descifrar inmediatamente la
contraseña de correo.





Yo no lo veo como una vulnerabilidad. Veamos, sólamente puede conseguir
la clave quien tenga derecho de lectura al fichero ~/.kde/share. En el 
caso de que alguien tenga derecho a ese fichero sin que sea el usuario, la

vulnerabilidad no es del kmail, si no del administrador de la máquina.

Si no, el fetchmail, tb tendría una vulnerabilidad si cabe un poco más 
grabe, porque no se molesta ni en aplicarle un algoritmo (ni siquiera tan 
simple) para ocultar la lectura de ésta.


Pero fetchmail rechaza ficheros de configuración con permisos distintos 
de 600.


Saludos.


--
José Esteban
Granada. Spain.

instalacion via red

[Joaquin Fernandez Piqueras]

Hola,
estoy intentando instalar Potato via ftp, primero he creado unos discos
con el sistema base y lo he instalado. Hasta aqui sin problemas. Ahora
quiero configurar la tarjeta de red, escribir el sources.list e instalar
via ftp.

Los problemas:
La tarjeta creo que es una DE305, que modulos tengo que cargar y que
debo tocar para que funcione?
He probado con varios modulos y todos me responden:

init_module: Device or resource busy

no he elegido bien los modulos? o falla algo mas?
Arrancando con un cd de la Suse que tenia por ahi veo que me arranca el
modulo tlan.o (compaq netelligent 10/100/netflex3) pero lo he probado
tanto con insmod como con modprobe obteniendo el mismo resultado que
antes.

No se que mas probar, a ver si me podei echar una mano, si no tendré que
bajarme los cd's.

Gracias por adelantado.

TA LUEG
Quimi

Tarjeta de red

[first last]

   Hola de nuevo gente. Estoy aqui intentando 
configurar la tarjeta de red de mi pc en la 
universidad. Al hacer un lspci me dice que:

Ethernet controller 3com 3c905 100bTx
Medium devsel, irq 10. Master Capable. Latency=64
Min Gnt=3 max Lat=8 IO at 0x1000 [0x1001]
Bus 0, device 15, function 0

Pero cuando hago un modconf con el driver 3c9x y
despues hago ifconf no me aparece.
He probado con no ponerle parametros con ponerle (
combinaciones multiples) options=4 options=12
debug=1 io=0x1000 io-0x1001 pero sigue sin aparecerme 
en ifconfig.

?Alguien tiene alguna idea de como puedo hacerlo?

Gracias de antemano

Gabriel


Do You Yahoo!?
Get your free @yahoo.co.uk address at http://mail.yahoo.co.uk
or your free @yahoo.ie address at http://mail.yahoo.ie

Tarjeta de red (2)

[first last]

  Perdon, entre las opciones se me olvido poner la 
interrupcion irq=10

   Gracias

   Gabriel


Do You Yahoo!?
Get your free @yahoo.co.uk address at http://mail.yahoo.co.uk
or your free @yahoo.ie address at http://mail.yahoo.ie

Re: Tarjeta de red

[Pablo Dorronsoro]

Buenas,

 ?Alguien tiene alguna idea de como puedo hacerlo?

Mi tarjeta de red (una NE-2000 compatible) tampoco aparecia. La
configure con modconf y no me dio ningun mensaje de error al cargar el
modulo. Si hacia un lsmod el modulo estaba ahi pero si hacia un ifconfig
no aparecia el eth0, pero no pasa nada yo simplemente teclee ifconfig
eth0 up y... Voila!! alli estaba mi tarjeta.

Espero que tambien te funcione,
Saludos,
Pablo.

Re: Tarjeta de red

[Joaquín Urrutia]

Has probado a ver si te aparece con ifconfig -a ?
De esta forma te aparecen todos los interfaces aunque no esten activos

Saludos

El Tuesday 05 December 2000 16:34, first last escribió:
 Hola de nuevo gente. Estoy aqui intentando 
 configurar la tarjeta de red de mi pc en la 
 universidad. Al hacer un lspci me dice que:
 
 Ethernet controller 3com 3c905 100bTx
 Medium devsel, irq 10. Master Capable. Latency=64
 Min Gnt=3 max Lat=8 IO at 0x1000 [0x1001]
 Bus 0, device 15, function 0
 
 Pero cuando hago un modconf con el driver 3c9x y
 despues hago ifconf no me aparece.
 He probado con no ponerle parametros con ponerle (
 combinaciones multiples) options=4 options=12
 debug=1 io=0x1000 io-0x1001 pero sigue sin aparecerme 
 en ifconfig.
 
 ?Alguien tiene alguna idea de como puedo hacerlo?
 
 Gracias de antemano
 
 Gabriel
 
 
 Do You Yahoo!?
 Get your free @yahoo.co.uk address at http://mail.yahoo.co.uk
 or your free @yahoo.ie address at http://mail.yahoo.ie
 
 
 --  
 Unsubscribe?  mail -s unsubscribe 
[EMAIL PROTECTED]  /dev/null

-- 

Joaquin Urrutia Gonzalez   Powered by Debian Potato
  GNU/LiNUX
[EMAIL PROTECTED]  
[EMAIL PROTECTED] Kernel 2.2.17

Re: Tarjeta de red

[Jaume Sabater]

At 18:08 05/12/00 +0100, you wrote:
Buenas,

 ?Alguien tiene alguna idea de como puedo hacerlo?

Mi tarjeta de red (una NE-2000 compatible) tampoco aparecia. La
configure con modconf y no me dio ningun mensaje de error al cargar el
modulo. Si hacia un lsmod el modulo estaba ahi pero si hacia un ifconfig
no aparecia el eth0, pero no pasa nada yo simplemente teclee ifconfig
eth0 up y... Voila!! alli estaba mi tarjeta.

Siempre y cuando esté en /etc/network/interfaces...


=
Jaume Sabater i Lleal
mailto:[EMAIL PROTECTED]
=

Re: Tarjeta de red

[Julian Armando Mena Zapata]

Me interesa. Tengo una igual pero deje de intentar configurarla pues
consegui una NE200-PCI. Al principio intente con la vortex (ver
descripcion en la Documentacion del nucleo linux) ?funciono? Nunca la
probe. Puedo probar nuevamente (en la noche lo hare en casa despacio y sin
ruido). Es mas, en el 2.2.17 viene el controlador? No me parece haberlo
visto.

On Tue, 5 Dec 2000, first last wrote:

Hola de nuevo gente. Estoy aqui intentando 
 configurar la tarjeta de red de mi pc en la 
 universidad. Al hacer un lspci me dice que:
 
 Ethernet controller 3com 3c905 100bTx
 Medium devsel, irq 10. Master Capable. Latency=64
 Min Gnt=3 max Lat=8 IO at 0x1000 [0x1001]
 Bus 0, device 15, function 0
 
 Pero cuando hago un modconf con el driver 3c9x y
 despues hago ifconf no me aparece.
 He probado con no ponerle parametros con ponerle (
 combinaciones multiples) options=4 options=12
 debug=1 io=0x1000 io-0x1001 pero sigue sin aparecerme 
 en ifconfig.
 
 ?Alguien tiene alguna idea de como puedo hacerlo?

traffic control

[Carles Pina i Estany]

Hola

Alguien que esté usando traffic control (tc) con el 2.4.0test11 me puede
decir que opciones son las necesarias para que funcione?

es que el menú de QoS hay mucho help is no available, lo he puesto todo
como módulo pero tengo problemas con los modulos del directorio /shed,
así que lo compilaré en el kernel pero no quiero meter todo el QoS dentro
del kernel a saco (sí que lo he hecho con los módulos)

Gracias


Carles Pina i Estany
   E-Mail: [EMAIL PROTECTED] || #ICQ: 14446118 || Nick: Pinux / Pine
   URL: http://www.salleurl.edu/~is08139
   Yo, en la mañana, abro la ventana: el mundo se tiene de ventilar

RE: Bugs en Debian

[Ricardo Villalba]

-Mensaje original-
De: Javier Fdz-Sanguino Pen~a [EMAIL PROTECTED]
Para: [EMAIL PROTECTED] [EMAIL PROTECTED]; Usuarios de
Debian en español debian-user-spanish@lists.debian.org; Andres Seco
Hernandez [EMAIL PROTECTED]
Fecha: sábado 2 de diciembre de 2000 16:48
Asunto: Re: Bugs en Debian


[...]
 Así que *sí* hay mecanimos, pero hay que andar con cuidado, no se le
epuede quitar un paquete a un desarrollador que simplemente no responde
a
los bug reports porque está de vacaciones de verano...


Pues el que se encarga del paquete xzx hace ya casi un año que no
responde. Ese paquete tiene reportado un error muy importante desde hace
más de 300 días. Me bajé el código fuente de woody y encontré otro
fallo. Lo reporté y envié un parche que ¡corrige los dos bugs!
Sigo esperando a que lo arreglen (aún no he recibido la respuesta de bug
cerrado).

--
Ricardo Villalba
[EMAIL PROTECTED]
[EMAIL PROTECTED]
http://members.xoom.com/rvmsoft

generacion de Packages.gz

[Julian Armando Mena Zapata]

Hola a todos,
Tengo .deb en un disco duro y necesito generar los archivos Packages para
los paquetes que tengo. Alguien podria colaborarme diciendome como generar
este archivo?
Gracias de antemano
at
Julian

Re: Tarjeta de red

[Hue-Bond]

El martes 05 de diciembre de 2000 a la(s) 18:18:42 +0100, Jaume Sabater contaba:

no aparecia el eth0, pero no pasa nada yo simplemente teclee ifconfig
eth0 up y... Voila!! alli estaba mi tarjeta.

Siempre y cuando esté en /etc/network/interfaces...

 Y si no, 'ifconfig eth0 192.168.12.34' y a funcionar.


[EMAIL PROTECTED]

-- 
 David Serrano [EMAIL PROTECTED] - Linux Registered User #87069


pgpl6asp7Txey.pgp
Description: PGP signature

Re: generacion de Packages.gz

[José Esteban]

Hola.

Seguro que hay algo más elegante, pero a mí me funciona esto:

if [ -s $1 ]; then
# 
echo ** Sí existe: $1

dpkg-deb --field $1
nombreFi=`echo $1 | cut --delimiter=/ --fields=5,6,7,8,9,10`
echo Filename: $nombreFi
(ls -lL $1) |   # lo mete a la entrada de este shell
while read a b c d tam f g h i
do echo Size: $tam; done
(md5sum $1) |   # idem
while read md5sum b
do echo MD5sum: $md5sum; done
echo
fi

Como ves, te da en salida estándar la entrada Packages del paquete que 
le das como primer argumento.


Saludos.

Julian Armando Mena Zapata wrote:


Hola a todos,
Tengo .deb en un disco duro y necesito generar los archivos Packages para
los paquetes que tengo. Alguien podria colaborarme diciendome como generar
este archivo?
Gracias de antemano
at
Julian


--  
Unsubscribe?  mail -s unsubscribe [EMAIL PROTECTED]  /dev/null



--
José Esteban
Granada. Spain.

Re: generacion de Packages.gz

[Enzo Alberto Dari]

Julian Armando Mena Zapata wrote:
 
 Hola a todos,
 Tengo .deb en un disco duro y necesito generar los archivos Packages para
 los paquetes que tengo. Alguien podria colaborarme diciendome como generar
 este archivo?
 ...
Este es el script que tengo para actualizar el Packages y el
Packages de los updates de seguridad:

dpkg-scanpackages dists/stable/updates/main/binary-i386
/www/public/linux/debian/indices/override.potato.gz 
dists/stable/updates/main/binary-i386/Packages

rm dists/stable/updates/main/binary-i386/Packages.gz

cat dists/stable/updates/main/binary-i386/Packages | gzip -9 
dists/stable/updates/main/binary-i386/Packages.gz

dpkg-scanpackages dists/stable/updates/non-free/binary-i386
/www/public/linux/debian/indices/override.potato.gz 
dists/stable/updates/non-free/binary-i386/Packages

rm dists/stable/updates/non-free/binary-i386/Packages.gz

cat dists/stable/updates/non-free/binary-i386/Packages | gzip -9 
dists/stable/updates/non-free/binary-i386/Packages.gz



-- 
Saludos,
 O__
Enzo.,/
()=\()
Enzo A. Dari  |  Instituto Balseiro / Centro Atomico Bariloche
8400-San Carlos de Bariloche, Argentina | email: [EMAIL PROTECTED]
Phone: 54-2944-445208, 54-2944-445100 Fax: 54-2944-445299
Web page: http://cabmec1.cnea.gov.ar/darie/darie.htm

Instalacion En Disco Rigido Para Otra Pc

[JFreak]

Hola lista, queria preguntarles si es posible instalar  en un disco
rigido y luego usar ese disco rigido en otra Pc.

Resulta que tengo una pc en mi trabajo que la queremos usar como
estacion de trabajo para lo cual me pidieron que le instalara la
distribucion de Mandrake ya que esta se aclopa muy bien a las
necesidades de usuario pero esta no tiene booteo desde cd-rom y cuando
quiero instalar usando un diskette con la imagen para bootear con cd-rom
se queda colgado, la unidad es totalmente standard por lo que no
necesita de alguna configuracion especial, entonces pensaba si era
posible instalar desde mi pc (que si tiene booteo desde cd-rom y no he
tenido ningun problema), configurarle las X y luego usar ese disco
rigido en la otra Pc, las maquinas son diferentes, estas son las
especificaciones:

Maquina 1: Booteable desde Cd-Rom

  Marca : Clone
  Procesador : Pentuim II 350 MHZ
  Memoria Ram : 64 MB
  Tarjeta De Video : S3

Maquina 2
   Marca : AST Bravo LC 5100
   Procesador: Pentim 100 Mhz
   Memoria Ram : 32 MB
   Tarjeta de Video : Sis 6205

Como ven las maquinas son diferentes pero ambas cumplen con las
especificaciones minimas para instalar Linux, se que esta lista es de
Debian pero les pregunto esto ya que yo uso Debian y el servidor que va
a utilizar la maquina remota sera un Debian, espero no molestar a nadie
de la lista por usar la distribucion de Mandrake pero es la distribucion
que me pidieron que instale :(, gracias a todos y espero que puedan
ayudarme.

Una ultima pregunta, si tengo configurado correctamente las X en Debian
que archivos necesito copiar para que en Mandrake no tenga que volver a
configurarlas?? el XF86config.conf ?? alguno otro??

Gracias a todos.




_
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com

No puedo instalar desde particion...

[Druida]

 Hola a todos, como estan? yo aca con problemas que les paso a contar:
 Me bajé de la red el KDE, todos los archivos porque no sabia cual instalar
y cual necesitaria tal aplicacion... en fin, bajé todos para no tener
problemas después. Voy a preguntar brevemente porque hice muchas cosas que
ni yo recuerdo ya, asi que solo les preguntaré esto:
 Como hago para instalar el KDE desde un directorio? porque si pongo
file:/kde en sources.list, al querer usar el apt-get install nombre_paquete
me da este error:
Reading Package List... Error!
E: Read error - Read (21 Is a directory)
problem opening
/var/state/apt/lists/_kde_dists_stable_main_binary-i386_Packages
E: The package lists or status file can not be parsed or opened
 Cual es la lista de paquetes? solo baje los .deb y supuse que era
suficiente con eso. Qué tengo que modificar para que me reconozca ese
directorio como fuente de archivos? modifiqué el sources.list y demas, cree
unos directorios tipo
/var/state/apt/lists/_kde_dists_stable_main_binary-i386_Packages que me
decia no existian, y despues de crearlos los encuentra pero me da el error
de antes. Meti los .deb ahi y todo, pero nada sale. Cómo hago para
instalarlos?
 Antes de que me tiren con algo, les aclaro que hace poco comencé con Linux
y tengo un winmodem que no pude instalar en Linux. Por tanto, los archivos
los bajé desde Windows y los pasé a Linux, razón por la cual es unicamente
un directorio, la fuente de archivos que puedo utilizar para instalar el
KDE. Uso Potato pero no lo tengo completo, por eso no tengo KDE.
 Les mando un abrazo y espero me puedan ayudar... en unos días supongo ya
tendré el nuevo modem, pero mientras tanto no me queda otra que instalar asi
las cosas. Hasta pronto.

Re: Instalacion de Potato

[Aurelio Diaz-Ufano]

Esa es la q yo tengo... :-
Cómo la configuraste???

Re: Instalacion de Potato

[Aurelio Diaz-Ufano]

Esa es la mia :-
Como la configuraste?
Un saludo




[EMAIL PROTECTED] escribió:

 On Mon, Dec 04, 2000 at 03:52:59AM +0100, Aurelio Diaz-Ufano wrote:
  ¿Conocéis
  algún programa con la Tarjeta gráfica S3 3D 8 Mb?
  Gracias
 

 ¿A qué te refieres con algún programa para esa tarjeta?. Yo tengo la 
 S3 Trio 3D/2X 8Mb y va de maravilla con todos los programas.

 Saludos.

 Diego

 --
 *
 Diego Bote BarcoEscuela de Ingenierías Industriales
 Área de Matemática Aplicada Avda. de Elvas s/nº
 Departamento de Matemáticas C.P.: 06071 BADAJOZ
 Universidad de Extremadura  Tlf.: 924 289600 ext 9754 Fax: 924 289601
 correo-e: [EMAIL PROTECTED]
 *

 --
 Unsubscribe?  mail -s unsubscribe [EMAIL PROTECTED]  /dev/null