[Segurança] [DSA 259-1] Novo pacote qpopper corrige escalação de privilégios do usuário

To: debian-news-portuguese@lists.debian.org
Subject: [Segurança] [DSA 259-1] Novo pacote qpopper corrige escalação de privilégios do usuário
From: Henrique Pedroni Neto <henrique@ital.org.br>
Date: Thu, 13 Mar 2003 14:39:55 -0300
Message-id: <20030313143955.1491ed2b.henrique@ital.org.br>

----------------------------------------------------------------------------
Alerta de Segurança Debian DSA-259-1                     security@debian.org
http://www.debian.org/security/                                Michael Stone
12 de Março de 2003                       http://www.debian.org/security/faq
----------------------------------------------------------------------------

Pacote 			: qpopper
Vulnerabilidade 	: escalação de privilégio do usuário mail
Específico ao Debian 	: no

Florian Heinz <heinz@cronon-ag.de> postou na lista de email Bugtraq uma 
exploração para o qpopper baseado num bug na implementação vsnprintf incluída.
A mesma exploração requer uma conta de usuário válida e uma senha, e 
estoura a string na função pop_msg() para dar ao usuário os privilégios
do grupo "mail" e uma shell no sistema. Como a função Qvsnprintf é usada 
em outro lugar no qpopper, explorações adicionais podem ser possíveis.

Para a distribuição estável (woody) esse problema foi corrigido na versão
4.0.4-2.woody.3.

Essa vulnerabilidade não atinge a antiga distribuição estável (potato).

Usuários utilizando versões não lançadas do debian devem atualizar para
a versão 4.0.4-9 ou mais nova.

Nós recomendamos que atualize seu pacote qpopper imediatamente.

--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------
	
        Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
 *******************************************************************
   .''`.   Debian Weekly News: <http://www.debian.org/News/weekly>
  : :'  :  Debian BR.........: <http://debian-br.cipsga.org.br>   
  `. `'`        Equipe de Imprensa e Traduções do Debian-BR
    `-                 O que você quer saber hoje?
 *******************************************************************
     Se você tiver notícias interessantes para serem publicadas,
     envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.

Attachment: pgpKpGiO6n31X.pgp
Description: PGP signature

Reply to:

Prev by Date: [Segurança] [DSA 258-1] Novo pacote ethereal corrige execução arbitrária de código
Next by Date: [Segurança] [DSA 260-1] Novo pacote file corrige estouro de buffer
Previous by thread: [Segurança] [DSA 258-1] Novo pacote ethereal corrige execução arbitrária de código
Next by thread: [Segurança] [DSA 260-1] Novo pacote file corrige estouro de buffer
Index(es):
- Date
- Thread