[SEGURANÇA] [DSA-009-1] vulnerabilidades múltiplas no stunnel
- ----------------------------------------------------
Informativo de Segurança do Debian DSA-009-1 security@debian.org
http://www.debian.org/security/ Wichert Akkerman
Dezembro, 25 de 2000.
- ----------------------------------------------------
Pacote ..............................: stunnel
Tipo de Problema.........: manuseio inseguro de arquivos, erro no
formato de strings
Específico do Debian..: não
Lez descobriu um problema no formato de strings no stunnel (uma
ferramenta para criar
túneis SSL universais para outros daemons de rede). Brian Hatch
respondeu afirmando
que já estava liberando uma nova versão com múltiplas correções de
segurança:
1. o PRNG (pseudo-random genetared - algo como 'gerado
pseudo-randomicamente')
não era gerado corretamente.
Isso afeta apenas a operação em sistemas operacionais sem um gerador
randômico seguro
(como o Linux)
2. Arquivos pid não eram criados seguramente, tornando o stunnel
vulnerável à ataques por
link simbólico.
3. Havia uma chamada insegura ao syslog() que poderia ser explorada se o
usuário pudesse
conseguir inserir texto no texto gravado. Ao menos uma maneira de
explorar isso usando respostas
do identd falsas foi demonstrada por Lez.
Isso foi corrigido na versão 3.10-0potato1.
wget url
baixará o arquivo para você
dpkg -i arquivo.deb
instalará o arquivo mencionado.
Debian GNU/Linux 2.2 codinome potato
- ---------------------
Potato foi liberado para alpha, arm, i386, m68k, powerpc e sparc.
Nesse momento não há correção disponível para ARM, um vez que
a correção estiver disponível para essa arquitetura será anunciada em
http://security.debian.org
Arquivos dos fontes:
http://security.debian.org/dists/stable/updates/main/source/stunnel_3.10-0potato1.diff.gz
MD5 checksum: 60d5aa858f0a06c2d419da3cf082edfd
http://security.debian.org/dists/stable/updates/main/source/stunnel_3.10-0potato1.dsc
MD5 checksum: 0cc18707e34df76f50ca1f8d3c4faeaa
http://security.debian.org/dists/stable/updates/main/source/stunnel_3.10.orig.tar.gz
MD5 checksum: eca047987da225a6e4e7bd705a81f2aa
Arquitetura Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/stunnel_3.10-0potato1_alpha.deb
MD5 checksum: 832ad31f899dbc655b1796b56cb98c80
Arquitetura Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/stunnel_3.10-0potato1_i386.deb
MD5 checksum: b64009319600749c58c60d39874db79d
Arquitetura Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/stunnel_3.10-0potato1_m68k.deb
MD5 checksum: 89c199d09858d14c9563522f4f6fba67
Arquitetura PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/stunnel_3.10-0potato1_powerpc.deb
MD5 checksum: cd145736ba23c54f98a41afe7bb5469f
Arquitetura Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/stunnel_3.10-0potato1_sparc.deb
MD5 checksum: 12d12072d96e1ddc6caa50cbc179619f
Esses arquivos serão movidos para
ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ logo.
Para arquiteturas que ainda não foi liberado, favor consultar o
diretório apropriado
ftp://ftp.debian.org/debian/dists/sid/binary-$arch/.
- --
- -------------------------------------------------------------
apt-get deb http://security.debian.org/ stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security
dists/stable/updates/main
Lista de Mensagens: debian-security-announce@lists.debian.org
- -------------------------------------------------------------
Para SAIR DA LISTA, envie um e-mail para
debian-security-announce-request@lists.debian.org
com "unsubscribe" no assunto. Problemas? Contate listmaster@lists.debian.org
--
Lauro Costa - Joinville/SC
laurocgb@yahoo.com.BR
-+- I love Debian! -+-
Reply to: