[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[wml] Mais atualizações e novos DSAs



Olá, pessoal.

	Meu muito obrigada ao Philipe por ter realizado o commit anterior. Segue em anexo mais alguns arquivos. 

	Obrigada, 

-- 
Michelle Ribeiro
michelle@focalinux.org

Unix is very simple, but it takes a genius to understand the simplicity.
(Dennis Ritchie)
#use wml::debian::template title="Informações sobre Segurança" GEN_TIME="yes"
#use wml::debian::recent_list
#use wml::debian::translation-check translation="1.50" translation_maintainer="Michelle Ribeiro e Philipe Gaspar"
#include "$(ENGLISHDIR)/releases/info"

<P>A Debian leva a segurança muito a sério. A maioria dos problemas de
segurança que são trazidos a nós são corrigidos dentro de 48 horas.</P>

<P>A experiência nos mostrou que "segurança através de obscuridade" não
funciona. Transparência com o público permite que se obtenham soluções em
relação a problemas de segurança mais rápidas e melhores. Seguindo esse
raciocínio, esta página se dirige ao estado da Debian quanto a várias
vulnerabilidades de segurança conhecidas que tem a potencialidade de
afetar o Debian.</P>

<H2>Mantendo seu sistema Debian seguro</H2>

<p>Para receber os últimos alertas de segurança Debian, inscreva-se na lista
<a href="../MailingLists/subscribe#debian-security-announce">\
debian-security-announce</a>.</p>
    

<p>Você pode usar o <a href="http://packages.debian.org/stable/base/apt.html";>apt</a>
para obter as últimas atualizações de segurança. Neste caso, insira uma 
linha como
<BLOCKQUOTE>
<code>deb&nbsp;http://security.debian.org/&nbsp;<current_release_name>/updates&nbsp;main&nbsp;contrib&nbsp;non-free</code>
</BLOCKQUOTE> no arquivo <CODE>/etc/apt/sources.list</CODE>.

O Time de Segurança está realizando o suporte a próxima versão estável
(denominada "Woody"). Para utilizar as atualizações para esta versão, 
por favor, certifique-se de que adicionou uma linha similar para a woody em seu 
arquivo <CODE>/etc/apt/sources.list</CODE> (alterando <code>potato</code>
por <code>woody</code>).

<p>Também há um manual, chamado <a href="../doc/user-manuals#securing">Securing Debian.</a>
</p>

<H2>Alertas Recentes</H2>

<p>Essas páginas contém um imenso repositório de alertas de segurança enviados a
<a href="../MailingLists/subscribe#debian-security-announce">\
    debian-security-announce</a>.
    
<:= get_recent_list( $(CUR_YEAR), '6', '$(ENGLISHDIR)/security', 'list', 'dsa-\d+' ) :>
   
<p>Os alertas de segurança antigos também estão disponíveis:
<ul>
  <li>Alertas de segurança divulgados em <a href="2002/">2002</a>
  <li>Alertas de segurança divulgados em <a href="2001/">2001</a>
  <li>Alertas de segurança divulgados em <a href="2000/">2000</a>
  <li>Alertas de segurança divulgados em <a href="1999/">1999</a>
  <li>Alertas de segurança divulgados em <a href="1998/">1998</a>
  <li>Alertas de segurança divulgados em <a href="1997/">1997</a>
  <li>Alertas de segurança <a href="undated/">sem data</A>, inclusos para a
posteridade.
</ul>
    
<H2>Informações para Contato</H2>
    
<P>Por favor, envie relatórios de bug relacionados a segurança para 
<A href="mailto:security@debian.org";>security@debian.org</A>.
<br>
(Desenvolvedores podem usar as listas de discussão debian-security e
debian-security-private para informar aos membros da equipe de
segurança sobre problemas em seus pacotes.)</P>

<p>Queira ler o <a href="faq">FAQ da Equipe de Segurança</a> antes de
nos contatar, pois sua pergunta pode já estar respondida nele.
<p>Chaves PGP/GPG para a equipe de segurança estão disponíveis
<A href="keys.txt">aqui</A>.</P>

<p>Os últimos alertas de segurança Debian também estão disponíveis
em <a href="dsa.en.rdf">formato RDF</a>.</p>
<define-tag description>buffer overflow / DoS</define-tag>
<define-tag moreinfo>
<p>O pacote libapache-mod-ssl fornece a capacidade SSL ao servidor web apache. 

Recentemente, um problema foi encontrado no tratamento de arquivos .htaccess, 
permitindo execução de código arbitrário como o usuário utilizado pelo servidor
web (sem levar em consideração as configurações de ExecCGI / suexec), ataques de 
negação de serviço (matando o processo apache) e permitindo que alguém tome controle
dos processos filhos do apache - tudo através da alteração dos arquivos .htaccess. </p>


<p>Mais informações sobre esta vulnerabilidade podem ser encontradas no
<a href="http://online.securityfocus.com/bid/5084";>SecurityFocus</a>.</p>

<p>Isto foi corrigido no pacote libapache-mod-ssl_2.4.10-1.3.9-1potato2 
(para potato) e no pacote libapache-mod-ssl_2.8.9-2 (para woody).
Nós recomendamos que você atualize o mais breve possível. </p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-135.data"
#use wml::debian::translation-check translation="1.11" translation_maintainer="Michelle Ribeiro"
<define-tag description>vulnerabilidade remota</define-tag>
<define-tag moreinfo>
<p>O ISS X-Force lançou um alerta a respeito do OpenSSH "Remote Challenge
Vulnerability". Infelizmente, o alerta estava incorreto em alguns pontos, 
conduzindo a uma confusão generalizada sobre o impacto desta vulnerabilidade. 
Nenhuma versão do OpenSSH no Debian foi afetada pela autenticação SKEY e BSD_AUTH
descrita no alerta do ISS. De qualquer forma, o Debian não inclui servidores OpenSSH
com a característica do PAM descrita como uma vulnerabilidade no último alerta do 
grupo do OpenSSH. (A característica desta vulnerabilidade é a autenticação 
usando o mecanismo kbdint.) Esta vulnerabilidade afeta as versões 2.3.1 até 3.3 do 
OpenSSH. Nenhuma exploração é conhecida atualmente para a vulnerabilidade do 
PAM/kbdint, mas os detalhes são públicos agora. Todas essas vulnerabilidades 
foram corrigidas no OpenSSH 3.4.</p>

<p>Além das correções das vulnerabilidades acima, nossso pacote OpenSSH
versões 3.3 e superiores suportam a nova característica de separação de privilégio
do Niels Provos, que modifica o ssh para utilizar o processo de separação não
privilegiada no tratamento da maioria do trabalho. Vulnerabilidades nas partes
não privilegiadas do OpenSSH levará a uma conta não privilegiada e restrita a um
chroot, o que é melhor do que comprometer diretamente a conta de root. A separação 
de privilégio deve auxiliar a minimizar os riscos de qualquer problema futuro no
OpenSSH. </p>

<p>O Debian 2.2 (potato) foi lançado com um pacote baseado no OpenSSH 1.2.3 e não é
vulnerável aos problemas cobertos por este alerta. Usuários que ainda executam
o pacote 1.2.3 do ssh não têm a necessidade de atualizar imediatamente para o OpenSSH
3.4. Usuários que atualizaram para o pacote do OpenSSH versão 3.3 lançado previamente
devido ao DSA-134 devem atualizar para a nova versão 3.4, já que a 3.3 é vulnerável. 
Nós sugerimos que ainda executam a versão 1.2.3 considerem a atualização para a 3.4
para obter as vantagens da separação de privilégio. (Novamente, nós não temos
conhecimento de qualquer vulnerabilidade no OpenSSH 1.2.3. Por favor, leia cuidadosamente
as advertências listadas abaixo antes de realizar a atualização a partir do OpenSSH 1.2.3.)
Nós recomendamos que qualquer usuários executando uma versão portada do OpenSSH 2.0 ou superior
no potato atualize paa o OpenSSH 3.4.</p>

<p>A atual versão do Debian (woody), que está em estado de pré-lançamento, 
inclui uma versão do pacote 3.0.2p1 do OpenSSH (ssh), que é vulnerável ao
problema do PAM/kbdint descrito acima. Nós recomendamos que os
usuários atualizem para o OpenSSH 4.3 e habilitem a separação de privilégio. 
Por favor, leia cuidadosamente as notas de lançamento antes de atualizar. 
Atualizações do pacote ssh-krb5 (um pacote OpenSSH que suporta autenticação
kerberos) estão atualmente em desenvolvimento. Usuários que hoje não podem
atualizar seus pacotes OpenSSH podem trabalhar em cima das vulnerabilidades
conhecidas, desabilitando as características vulneráveis: certifique-se 
de que as linhas abaixo estão descomentadas e presentes no /etc/ssh/sshd_config
e reinicie o ssh.</p>

<pre>
  PAMAuthenticationViaKbdInt no
  ChallengeResponseAuthentication no
</pre>

<p>Não devem haver entradas PAMAuthenticationViaKbdInt ou 
ChallengeResponseAuthentication no sshd_config.</p>

<p>Isto conclui a seção sobre vulnerabilidades deste alerta. O que segue 
são notas de lançamento relacionadas ao pacote OpenSSH 3.4 e a característica 
de separação de privilégio. URLs dos pacotes OpenSSH 3.4 estão logo abaixo. </p>

<p>Algumas notas sobre possíveis assuntos relacionados a esta atualização:
</p>

<ul>

<li>Este pacote traz uma nova conta chamada `sshd' que é usada no código 
de separação de privilégio. Se a conta ssh não existir, o pacote tentará
criar uma. Se a conta já existir, ele irá usá-la. Se você não quer que 
isto ocorra, deverá corrigir manualmente.</li>


<li>(relevante somente para a potato) Esta atualização adiciona um backport
da versão 0.9.6c da biblioteca SSL. Isto significa que você deverá 
atualizar o pacote libssl0.9.6 também. </li>

<li>(relevante somente para a potato) Esta atualização usa por padrão a 
versão 2 do protocolo SSH (mesmo que você tenha configurado o suporte a versão 1
do protocolo SSH). Isto pode quebrar configurações existentes onde
a autenticação RSA é usada. Você deverá também
    <ul>
      <li>adicione -1 ao executar o ssh para manter o uso do protocolo 1 do SSH e suas chaves
existentes, ou 
      <li>altere a linha <kbd>Protocol</kbd> no arquivo <tt>/etc/ssh/ssh_config</tt>
          e/ou
          <tt>/etc/ssh/sshd_config</tt> para "<kbd>Protocol 1,2</kbd>"
          para tentar o protocolo 1 antes do 2 ou 
      <li>criar novas chaves rsa ou dsa para o protocolo 2 do SSH 
    </ul>
    </li>

<li>por padrão, o sshd habilita a separação de privilégio, mesmo que você
não tenha explicidamente habilitado no arquivo <tt>/etc/ssh/sshd_config</tt>.

<li>retornar do ssh para o rsh não está mais possível.</li>

<li>(relevante somente para a potato) Separação de privilégio atualmente não funciona
com kernels Linux 2.0.</li>

<li>A separação de privilégio atualmente não funciona com autenticação PAM através do mecanismo
KeyboardInteractive.</li>

<li>A separação de privilégio causa falha a alguns módulos PAM que serão necessários 
para execução com privilégios de root.</li>

<li>Se, por alguma razão,você não pode usar a separação de privilégio neste momento devido 
a alguma das coisas descritas acima, você pode desabilitar isto adicionando
    "<kbd>UsePrivilegeSeparation no</kbd>" ao seu arquivo
    <tt>/etc/ssh/sshd_config</tt>.</li>
</ul>

<p>Algumas características de pacotes anteriores ao OpenSSH 3.3p1 corrigidos
neste alerta (não se trata de changelog completo):<p>

<ul>

<li>(relevante somente para a potato) a questão feita durante a instalação,
"Você quer permitir somente o uso do protocolo 2" não será mais "sim" por padrão. 
Usuários que responderam sim a esta questão e também escolheram recriar o arquivo
sshd_config não poderão mais conectar ao servidor via protocolo 1. Veja o arquivo 
<tt>/usr/doc/ssh/README.Debian</tt> para obter instruções sobre como habilitar o
protocolo 1 se estiver nesta situação. Uma vez que o padrão nos pacotes da potato agora 
é "não", isto não deve ser interessante para as pessoas que, no futuro, atualizarão 
a partir da versão 1.2.3</li>

<li>(relevante somente para a potato) o pacote ssh não conflita mais com o rsh-server, 
nem que fornece uma alternativa ao rsh</li>

<li>a instalação não falhará se os usuários escolherem gerar chaves com o protocolo 1
</li>
</ul>

<p>Novamente, nós lamentos ter que lançar pacotes com grandes mudanças e menos
testes com relação aos que são feitos normalmente; dada a potencial severidade
e natureza não especificada que esta ameaça trouxe originalmente, 
nós decidimos que nossos usuários estariam melhor servidos tendo pacotes
disponíveis para atualização quanto mais rápido possível. Iremos enviar
informações adicionais assim que as tivermos e continuaremos a trabalhar
nisto.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-134.data"

Reply to: