--------------------------------------------------------------------------- Notícias Semanais do Debian http://debian-br.sourceforge.net/novidades.html Notícias Semanais do Debian - 14 de março de 2001 --------------------------------------------------------------------------- Bem vindo a Notícias Semanais do Debian, uma newsletter para a comunidade Debian. Por anos nós sabiamos que as maneiras de entregar pacotes e releases aos usuários estavam deixando a desejar do ponto de vista da segurança. Não havia maneira de saber que o pacote que você acabou de baixar foi realmente feito por um Desenvolvedor do Debian e é realmente uma parte da release atual do Debian. Isso está mudando rapidamente e logo os usuários terão duas maneiras complementares para verificar que estão instalando pacotes legítimos. Essa semana um [1]patch foi postado para a lista debian-dpkg que adiciona suporte ao dpkg para checar assinaturas de pacotes Debian. As assinaturas são colocadas em uma nova seção do pacote e estão entrando no Debian ferramentas para adicionar e checar tais assinatura. Esse tipo de técnicas similares de assinatura paralela de pacotes que têm estado presentes no mundo rpm por um longo tempo e são adicões bem vindas ao dpkg, mas sua utilidade não deve ser enfatizado em excesso. Pacotes assinados, sozinhos, ainda deixam abertas várias maneiras de ataque. Várias coisas más podem ser feitas ao arquivo [2]Packages ou enganando o apt para baixar um [3]pacote velho e inseguro. Fechar esses ataques requer uma outra camada de segurança -- releases assinadas. Já estão aparecendo no repositório arquivos Release.gpg e o apt irá logo estar apto a verificar essas assinaturas quando ele atualizar um sistema Debian. Numa análise final, nenhum desses esquemas garantem segurança absoluta mas farão os ataques bem mais difíceis para os Chapéus Pretos e talvez no lançamento do woody ambos os tipos de assinatura estarão altamente disponíveis. Preparação estão sendo feitas para uma atualização ao stable, versão do Debian 2.2r3. Assim como na maioria das revisões pequenas, os pacotes com problemas de segurança, problemas de copyright ou erros feios são candidatos a serem atualizados nessa release. Deve também incluir atualizações para torná-lo compatível com o kernel 2.4 já que todos os pacotes necessários já foram [4]portados. Martin Schulze está [5]coordenando a nova release e sua lista de pacotes que entrarão está [6]na web. As eleições para DPL estão acontecendo, depois de alguns inícios falsos. Os Desenvolvedores podem pegar uma [7]cédula e enviá-la, assinada com gpg. As votações terminam dia 28 de março. Outra festa de conserto de bugs está planejada para [8]essa semana. Perto de 350 erros críticos para release continuam depois da última festa e todos precisam estar consertados antes de o woody ser lançado então, qualquer um com tempo livre nesse final de semana é encorajado a emprestar uma mão e consertar um erro ou dois. Algumas semanas, um sem-fim de consertos de segurança pingaram no Debian. Foi uma semana daquelas. Alguns desses anúncios são para problemas que foram já consertados antes mas não anunciados mas muitos são consertos recentes de segurança. * [9]Vários erros pequenos no pacote proftpd do stable poderiam levar a pequenos problemas de segurança. * Um [10]buffer overflow remotamente exploitável no analog poderia ser exploitado pela interface CGI. * Vários [11]buffer overflows no ePerl foram descobertos que poderiam levar a exploits remotos de root em algumas configurações. * Um [12]ataque de denial of service remoto foi encontrado no man2html -- ele poderia ser forçado a consumir toda a memória. * Um [13]exploit local no midnight commander. * Todos os substitutos para as bibliotecas xaw (nextaw, xaw3d e xaw95) foram atualizados para consertar alguns [14]buracos de segurança que foram achados anteriormente e consertados no xaw. * Um buraco de segurança de [15]arquivos temporários foi consertado no sgml-tools. * [16]Dois buracos de segurança na glibc do stable, ambos exploits de root foram consertados. (Note que o conserto quebrou o ldd em binários suid então uma atualização será possivelmente lançada para consertar isso.) * Um [17]buffer overflow remotamente exploitável no slrn do stable. * O Joe [18]inseguramente lê o .joerc do diretório atual, isso era exploitável localmente o joe era rodado em diretório como /tmp. * Um [19]buffer overflow exploitável remotamente no gnuserv e no xemacs. * Vários [20]exploits remotos no Zope. * Um [21]buffer overflow no mailx que poderia dar acesso local ao grupo mail. O time de segurança merece muitos agradecimentos por seu trabalho duro nessa semana. --------------------------------------------------------------------------- Referências 1. http://lists.debian.org/debian-dpkg-0103/msg00024.html 2. http://lists.debian.org/debian-dpkg-0103/msg00046.html 3. http://lists.debian.org/debian-dpkg-0103/msg00035.html 4. http://www.fs.tum.de/~bunk/kernel-24.html 5. http://lists.debian.org/debian-devel-announce-0103/msg00008.html 6. http://master.debian.org/~joey/2.2r3/ 7. http://lists.debian.org/debian-devel-announce-0103/msg00005.html 8. http://lists.debian.org/debian-devel-announce-0103/msg00009.html 9. http://www.debian.org/security/2001/dsa-032 10. http://www.debian.org/security/2001/dsa-033 11. http://www.debian.org/security/2001/dsa-034 12. http://www.debian.org/security/2001/dsa-035 13. http://www.debian.org/security/2001/dsa-036 14. http://www.debian.org/security/2001/dsa-037 15. http://www.debian.org/security/2001/dsa-038 16. http://www.debian.org/security/2001/dsa-039 17. http://www.debian.org/security/2001/dsa-040 18. http://www.debian.org/security/2001/dsa-041 19. http://www.debian.org/security/2001/dsa-042 20. http://www.debian.org/security/2001/dsa-043 21. http://lists.debian.org/debian-security-announce-01/msg00042.html -- see shy jo teh mais! -- Gustavo Noronha Silva - kov /******************************************************* .''`. * http://www.metainfo.org/kov * : :' : * GPG Key: http://www.metainfo.org/kov/html/pgp.html * `. `'` * http://www.brainbench.com/transcript.jsp?pid=2448987 * `- *******************************************************/ Debian
Attachment:
pgpavnxh7IPxg.pgp
Description: PGP signature