- ----------------------------------------------------------------------------
Informativo de Segurança do Debian DSA-023-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
26 de Janeiro de 2001
- ----------------------------------------------------------------------------
Pacote : inn2
Vulnerabilidade : vulnerabilidades locais de arquivos temporários
Específico do Debian: não
1. O pessoal da WireX achou diversas utilidades inseguras em potencial de
arquivos temporários em programas providos pelo INN2. Algumas delas podem
levar a vulnerabilidade de um ataque por link simbólico se o diretório
temporário estivesse setado para /tmp ou /var/tmp, que é o caso em muitas
instalações, ao menos em pacotes do Debian. Um atacante poderia sobrescrever
qualquer arquivo pertencente ao administrador do sistema de notícias, ex.:
pertencente a news.news.
2. Michal Zalewski achou um buffer overflow explorável que tem relação com
cancelar mensagens e sua verificação. Esse bug apenas mostrou se
"verifycancels" estava habilitado em inn.conf o que não é padrão e tem sido
desrecomendado ultimamente.
3. Andi Kleen achou um bug no INN2 que faz o innd travar por dois cabeçalhos
de byte. Existe uma chance de isso ser somente explorável com uucp.
Nós recomendamos que você atualize seus pacotes inn2 imediatamente.
wget url
baixará o arquivo para você
dpkg -i arquivo.deb
instalará o arquivo mencionado.
Você pode fazer uma atualização automática utilizando as instruções do
rodapé dessa mensagem.
Debian GNU/Linux 2.2 codinome potato
- ------------------------------------
Potato foi liberado para as arquiteturas alpha, arm, i386, m68k, powerpc e
sparc.
Arquivos do código-fonte:
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.diff.gz
MD5 checksum: b028c55deedf4ec35351103cac48bd85
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.dsc
MD5 checksum: d9621c875f3e5c01d6c26ce3f0c522cb
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31.orig.tar.gz
MD5 checksum: fa9ad31115a966b4d81085051801e765
Arquitetura Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-dev_2.2.2.2000.01.31-4.1_i386.deb
MD5 checksum: 2977d6653f42533938225aa1575aaafa
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-inews_2.2.2.2000.01.31-4.1_i386.deb
MD5 checksum: 99c00bc514f528db19eefbbd1a1d31fe
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2_2.2.2.2000.01.31-4.1_i386.deb
MD5 checksum: b46e664217c6c53172cb8bc35c372a5a
Arquitetura Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-dev_2.2.2.2000.01.31-4.1_m68k.deb
MD5 checksum: 1f987988e44bef82fe1f802c0be5ba02
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-inews_2.2.2.2000.01.31-4.1_m68k.deb
MD5 checksum: be82f2e97709643c1cb2b385a63c51a9
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2_2.2.2.2000.01.31-4.1_m68k.deb
MD5 checksum: 36078955097ec9d490de07e9e1e24c2b
Arquitetura Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-dev_2.2.2.2000.01.31-4.1_sparc.deb
MD5 checksum: 7511a8d1698ac3e5bee17777326b35b2
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-inews_2.2.2.2000.01.31-4.1_sparc.deb
MD5 checksum: c77d55903592e81968140e079f1c6f77
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2_2.2.2.2000.01.31-4.1_sparc.deb
MD5 checksum: 1f41b1ec85198d719fe9c28e98ec8734
Arquitetura Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-dev_2.2.2.2000.01.31-4.1_alpha.deb
MD5 checksum: 60272664fc901e1208a08f27cd782ade
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-inews_2.2.2.2000.01.31-4.1_alpha.deb
MD5 checksum: 45387036b992ae2a89e8867bce6936ad
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2_2.2.2.2000.01.31-4.1_alpha.deb
MD5 checksum: 74b59a4d505ea437e2acd2787ba46e06
Arquitetura PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-dev_2.2.2.2000.01.31-4.1_powerpc.deb
MD5 checksum: fe2831aba8e48fd40ed949ad4d43af69
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-inews_2.2.2.2000.01.31-4.1_powerpc.deb
MD5 checksum: 6ff36ece5e2e34fa263c29b3c182b3fb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2_2.2.2.2000.01.31-4.1_powerpc.deb
MD5 checksum: c834bf13621cd56a9bdecc9fd557944d
Arquitetura ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-dev_2.2.2.2000.01.31-4.1_arm.deb
MD5 checksum: 3e545ec01f4f868a89d43e0192e13397
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-inews_2.2.2.2000.01.31-4.1_arm.deb
MD5 checksum: 668c9bdf6d048dbe3d7f79020f7d0b66
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2_2.2.2.2000.01.31-4.1_arm.deb
MD5 checksum: 4ab8315ae897a034707932778dce944f
Independente de arquitetura:
http://security.debian.org/dists/stable/updates/main/binary-all/task-news-server_2.2.2.2000.01.31-4.1_all.deb
MD5 checksum: 2ebe291616ea17f9cabcae1644d7a5e5
Esses arquivos serão movidos para
ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ em breve.
Para arquiteturas que ainda não foi liberado favor consultar o diretório
apropriado ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ .
----------------------------------------------------------------------------
No apt-get: deb http://security.debian.org/ stable/updates main
No dpkg-ftp: ftp://security.debian.org/debian-security
dists/stable/updates/main
Lista de mensagens: debian-security-announce@lists.debian.org
Informações sobre o pacote: apt-cache show <pacote>' e
http://packages.debian.org/<pacote>
--
Lauro Costa - Joinville/SC
laurocgb@yahoo.com.BR
Attachment:
pgpBlxDj4Vkzh.pgp
Description: PGP signature