[SEGURANÇA] [DSA-004-1] ataque por link simbólico no nano

To: Debian News Portuguese <debian-news-portuguese@lists.debian.org>
Subject: [SEGURANÇA] [DSA-004-1] ataque por link simbólico no nano
From: "Gustavo Noronha Silva \(KoV\)" <dockov@zaz.com.br>
Date: Sun, 17 Dec 2000 14:50:38 -0200
Message-id: <[🔎] 20001217145038.D6448@zaz.com.br>

Informativo de Segurança do Debian DSA-004-1    security@debian.org
http://www.debian.org/security			Wichert Akkerman
Dezembro, 17 de 2000.
- -

Pacote			: nano
Tipo de problema	: ataque por link simbólico
Específico do Debian	: não

O problema que foi anteriormente reportado para o joe também ocorre
com outros editores. Quando o nano (um clone livre do pico) inesperadamente
fecha ele escreve uma mensagem de alerta em um novo arquivo com um nome pre-
visível (o nome do arquivo sendo editado com ".save" como terminação). Infelizmente
esse arquivo não é criado com segurança o que faz o nano ser vulnerável à ataques 
por link simbólico.

Isso foi corrigido na versão 0.9.23-1 (exceto para powerpc, que tem a versão 0.9.23-
1.1).

wget url
	baixará o arquivo para você
dpkg -i arquivo.deb
	instalará o arquivo mencionado.

Debian GNU/Linux 2.2 codinome potato
- -----------------------------------

 Potato foi liberado para alpha, arm, i386, m68k, powerpc e sparc.
 
 Arquivos dos fontes:
    
    http://security.debian.org/dists/stable/updates/main/source/nano_0.9.23-1.diff.gz
      MD5 checksum: 5c878e43e5161ee25043f60886c88b03
    http://security.debian.org/dists/stable/updates/main/source/nano_0.9.23-1.dsc
      MD5 checksum: 85879b609fbcd5b091e686d16e75865b
    http://security.debian.org/dists/stable/updates/main/source/nano_0.9.23.orig.tar.gz
      MD5 checksum: 56bdf48e0d56b83ca669ec813cc0d466

  Arquitetura Alpha:
    http://security.debian.org/dists/stable/updates/main/binary-alpha/nano-tiny_0.9.23-1_alpha.deb
      MD5 checksum: f7bba57357225edc934d5adb1ef2259e
    http://security.debian.org/dists/stable/updates/main/binary-alpha/nano_0.9.23-1_alpha.deb
      MD5 checksum: c6a99a014225016f86f367a4ec0edf8b

  Arquitetura ARM:
    http://security.debian.org/dists/stable/updates/main/binary-arm/nano-tiny_0.9.23-1_arm.deb
      MD5 checksum: 4a3e6f9140e874bc502149b610007307
    http://security.debian.org/dists/stable/updates/main/binary-arm/nano_0.9.23-1_arm.deb
      MD5 checksum: 111c0a9180e07868cb471c47cace287e

  Arquitetura Intel ia32:
    http://security.debian.org/dists/stable/updates/main/binary-i386/nano-tiny_0.9.23-1_i386.deb
      MD5 checksum: fd018ffdb6bf1932b96473969bcf9ef9
    http://security.debian.org/dists/stable/updates/main/binary-i386/nano_0.9.23-1_i386.deb
      MD5 checksum: ce7487c7aa0ce8ed1b791f51b5ece31c

  Arquitetura Motorola 680x0:
    http://security.debian.org/dists/stable/updates/main/binary-m68k/nano-tiny_0.9.23-1_m68k.deb
      MD5 checksum: 49261ca3f044d318dda67069527d4260
    http://security.debian.org/dists/stable/updates/main/binary-m68k/nano_0.9.23-1_m68k.deb
      MD5 checksum: 0a0ac605a31e49674ceb0d3b5d3aa0a8

  Arquitetura PowerPC:
    http://security.debian.org/dists/stable/updates/main/binary-powerpc/nano-tiny_0.9.23-1.1_powerpc.deb
      MD5 checksum: c6d4ec4efd2853f4acd35a4ec5e951c8
    http://security.debian.org/dists/stable/updates/main/binary-powerpc/nano_0.9.23-1.1_powerpc.deb
      MD5 checksum: 69df7777cedcc4aba0134a4838614aca

  Arquitetura Sun Sparc:
    http://security.debian.org/dists/stable/updates/main/binary-sparc/nano-tiny_0.9.23-1_sparc.deb
      MD5 checksum: 912ba97af630e91e2878190d373ab375
    http://security.debian.org/dists/stable/updates/main/binary-sparc/nano_0.9.23-1_sparc.deb
      MD5 checksum: 6098621e245ed89c4b09772601c957e0

Esses arquivos serão movidos para
 ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ logo.

Para arquiteturas que ainda não foi liberado favor consultar o
diretório apropriado ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ .

- ----------------------------------------------------------------------------
apt-get: deb http://security.debian.org/ stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Lista de mensagens: debian-security-announce@lists.debian.org
- ----------------------------------------------------------------------------

Traduzido por: Lauro Costa <laurocgb@yahoo.com.br>

-- 
Gustavo Noronha Silva - kov
/*******************************************************
*http://www.doctorkov.cjb.net			       *
*GPG Key: http://www.geocities.com/dockov/html/pgp.html*
*irc.debian.org -> #debian-br UIN: 20766822	       *
*******************************************************/

Attachment: pgp4wZq5jZTEW.pgp
Description: PGP signature

Reply to:

Prev by Date: Notícias Semanais do Debian 12/12/2000 (desculpem o atraso =) )
Next by Date: [SEGURANÇA] [DSA-005-1] exploit local no slocate
Previous by thread: Notícias Semanais do Debian 12/12/2000 (desculpem o atraso =) )
Next by thread: [SEGURANÇA] [DSA-005-1] exploit local no slocate
Index(es):
- Date
- Thread