- ---------------------------------------------------------------------------- Informativo de Segurança do Debian DSA-023-1 security@debian.org http://www.debian.org/security/ Martin Schulze 26 de Janeiro de 2001 - ---------------------------------------------------------------------------- Pacote : inn2 Vulnerabilidade : vulnerabilidades locais de arquivos temporários Específico do Debian: não 1. O pessoal da WireX achou diversas utilidades inseguras em potencial de arquivos temporários em programas providos pelo INN2. Algumas delas podem levar a vulnerabilidade de um ataque por link simbólico se o diretório temporário estivesse setado para /tmp ou /var/tmp, que é o caso em muitas instalações, ao menos em pacotes do Debian. Um atacante poderia sobrescrever qualquer arquivo pertencente ao administrador do sistema de notícias, ex.: pertencente a news.news. 2. Michal Zalewski achou um buffer overflow explorável que tem relação com cancelar mensagens e sua verificação. Esse bug apenas mostrou se "verifycancels" estava habilitado em inn.conf o que não é padrão e tem sido desrecomendado ultimamente. 3. Andi Kleen achou um bug no INN2 que faz o innd travar por dois cabeçalhos de byte. Existe uma chance de isso ser somente explorável com uucp. Nós recomendamos que você atualize seus pacotes inn2 imediatamente. wget url baixará o arquivo para você dpkg -i arquivo.deb instalará o arquivo mencionado. Você pode fazer uma atualização automática utilizando as instruções do rodapé dessa mensagem. Debian GNU/Linux 2.2 codinome potato - ------------------------------------ Potato foi liberado para as arquiteturas alpha, arm, i386, m68k, powerpc e sparc. Arquivos do código-fonte: http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.diff.gz MD5 checksum: b028c55deedf4ec35351103cac48bd85 http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.dsc MD5 checksum: d9621c875f3e5c01d6c26ce3f0c522cb http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31.orig.tar.gz MD5 checksum: fa9ad31115a966b4d81085051801e765 Arquitetura Intel ia32: http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-dev_2.2.2.2000.01.31-4.1_i386.deb MD5 checksum: 2977d6653f42533938225aa1575aaafa http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-inews_2.2.2.2000.01.31-4.1_i386.deb MD5 checksum: 99c00bc514f528db19eefbbd1a1d31fe http://security.debian.org/dists/stable/updates/main/binary-i386/inn2_2.2.2.2000.01.31-4.1_i386.deb MD5 checksum: b46e664217c6c53172cb8bc35c372a5a Arquitetura Motorola 680x0: http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-dev_2.2.2.2000.01.31-4.1_m68k.deb MD5 checksum: 1f987988e44bef82fe1f802c0be5ba02 http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-inews_2.2.2.2000.01.31-4.1_m68k.deb MD5 checksum: be82f2e97709643c1cb2b385a63c51a9 http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2_2.2.2.2000.01.31-4.1_m68k.deb MD5 checksum: 36078955097ec9d490de07e9e1e24c2b Arquitetura Sun Sparc: http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-dev_2.2.2.2000.01.31-4.1_sparc.deb MD5 checksum: 7511a8d1698ac3e5bee17777326b35b2 http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-inews_2.2.2.2000.01.31-4.1_sparc.deb MD5 checksum: c77d55903592e81968140e079f1c6f77 http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2_2.2.2.2000.01.31-4.1_sparc.deb MD5 checksum: 1f41b1ec85198d719fe9c28e98ec8734 Arquitetura Alpha: http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-dev_2.2.2.2000.01.31-4.1_alpha.deb MD5 checksum: 60272664fc901e1208a08f27cd782ade http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-inews_2.2.2.2000.01.31-4.1_alpha.deb MD5 checksum: 45387036b992ae2a89e8867bce6936ad http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2_2.2.2.2000.01.31-4.1_alpha.deb MD5 checksum: 74b59a4d505ea437e2acd2787ba46e06 Arquitetura PowerPC: http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-dev_2.2.2.2000.01.31-4.1_powerpc.deb MD5 checksum: fe2831aba8e48fd40ed949ad4d43af69 http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-inews_2.2.2.2000.01.31-4.1_powerpc.deb MD5 checksum: 6ff36ece5e2e34fa263c29b3c182b3fb http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2_2.2.2.2000.01.31-4.1_powerpc.deb MD5 checksum: c834bf13621cd56a9bdecc9fd557944d Arquitetura ARM: http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-dev_2.2.2.2000.01.31-4.1_arm.deb MD5 checksum: 3e545ec01f4f868a89d43e0192e13397 http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-inews_2.2.2.2000.01.31-4.1_arm.deb MD5 checksum: 668c9bdf6d048dbe3d7f79020f7d0b66 http://security.debian.org/dists/stable/updates/main/binary-arm/inn2_2.2.2.2000.01.31-4.1_arm.deb MD5 checksum: 4ab8315ae897a034707932778dce944f Independente de arquitetura: http://security.debian.org/dists/stable/updates/main/binary-all/task-news-server_2.2.2.2000.01.31-4.1_all.deb MD5 checksum: 2ebe291616ea17f9cabcae1644d7a5e5 Esses arquivos serão movidos para ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ em breve. Para arquiteturas que ainda não foi liberado favor consultar o diretório apropriado ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ . ---------------------------------------------------------------------------- No apt-get: deb http://security.debian.org/ stable/updates main No dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de mensagens: debian-security-announce@lists.debian.org Informações sobre o pacote: apt-cache show <pacote>' e http://packages.debian.org/<pacote> -- Lauro Costa - Joinville/SC laurocgb@yahoo.com.BR
Attachment:
pgpBlxDj4Vkzh.pgp
Description: PGP signature