Notícias Semanais do Debian 14 de março de 2001

To: Debian News Portuguese <debian-news-portuguese@lists.debian.org>
Subject: Notícias Semanais do Debian 14 de março de 2001
From: "Gustavo Noronha Silva \(KoV\)" <kov@debian.org>
Date: Sat, 17 Mar 2001 10:45:20 -0300
Message-id: <[🔎] 20010317104520.A618@zaz.com.br>
Mail-followup-to: "Gustavo Noronha Silva (KoV)" <kov@debian.org>, Debian News Portuguese <debian-news-portuguese@lists.debian.org>

---------------------------------------------------------------------------
Notícias Semanais do Debian
http://debian-br.sourceforge.net/novidades.html
Notícias Semanais do Debian - 14 de março de 2001
---------------------------------------------------------------------------
                                    
Bem vindo a Notícias Semanais do Debian, uma newsletter para a 
comunidade Debian.

Por anos nós sabiamos que as maneiras de entregar pacotes e releases
aos usuários estavam deixando a desejar do ponto de vista da segurança.
Não havia maneira de saber que o pacote que você acabou de baixar foi
realmente feito por um Desenvolvedor do Debian e é realmente uma parte
da release atual do Debian. Isso está mudando rapidamente e logo os
usuários terão duas maneiras complementares para verificar que estão
instalando pacotes legítimos. Essa semana um [1]patch foi postado para
a lista debian-dpkg que adiciona suporte ao dpkg para checar assinaturas
de pacotes Debian. As assinaturas são colocadas em uma nova seção do 
pacote e estão entrando no Debian ferramentas para adicionar e checar
tais assinatura. Esse tipo de técnicas similares de assinatura paralela
de pacotes que têm estado presentes no mundo rpm por um longo tempo e
são adicões bem vindas ao dpkg, mas sua utilidade não deve ser 
enfatizado em excesso.

Pacotes assinados, sozinhos, ainda deixam abertas várias maneiras de
ataque. Várias coisas más podem ser feitas ao arquivo [2]Packages
ou enganando o apt para baixar um [3]pacote velho e inseguro. Fechar
esses ataques requer uma outra camada de segurança -- releases assinadas.
Já estão aparecendo no repositório arquivos Release.gpg e o apt irá
logo estar apto a verificar essas assinaturas quando ele atualizar
um sistema Debian. Numa análise final, nenhum desses esquemas garantem
segurança absoluta mas farão os ataques bem mais difíceis para os
Chapéus Pretos e talvez no lançamento do woody ambos os tipos de
assinatura estarão altamente disponíveis.

Preparação estão sendo feitas para uma atualização ao stable,
versão do Debian 2.2r3. Assim como na maioria das revisões pequenas,
os pacotes com problemas de segurança, problemas de copyright
ou erros feios são candidatos a serem atualizados nessa release.
Deve também incluir atualizações para torná-lo compatível com o
kernel 2.4 já que todos os pacotes necessários já foram [4]portados.
Martin Schulze está [5]coordenando a nova release e sua lista de
pacotes que entrarão está [6]na web.

As eleições para DPL estão acontecendo, depois de alguns inícios falsos.
Os Desenvolvedores podem pegar uma [7]cédula e enviá-la, assinada com
gpg. As votações terminam dia 28 de março.

Outra festa de conserto de bugs está planejada para [8]essa semana.
Perto de 350 erros críticos para release continuam depois da última
festa e todos precisam estar consertados antes de o woody ser lançado
então, qualquer um com tempo livre nesse final de semana é encorajado
a emprestar uma mão e consertar um erro ou dois.

Algumas semanas, um sem-fim de consertos de segurança pingaram no 
Debian. Foi uma semana daquelas. Alguns desses anúncios são para
problemas que foram já consertados antes mas não anunciados mas
muitos são consertos recentes de segurança.
  * [9]Vários erros pequenos no pacote proftpd do stable poderiam levar
	a pequenos problemas de segurança.
  * Um [10]buffer overflow remotamente exploitável no analog poderia ser
	exploitado pela interface CGI.
  * Vários [11]buffer overflows no ePerl foram descobertos que poderiam
	levar a exploits remotos de root em algumas configurações.
  * Um [12]ataque de denial of service remoto foi encontrado no man2html
	-- ele poderia ser forçado a consumir toda a memória.
  * Um [13]exploit local no midnight commander.
  * Todos os substitutos para as bibliotecas xaw (nextaw, xaw3d e xaw95)
	foram atualizados para consertar alguns [14]buracos de segurança
	que foram achados anteriormente e consertados no xaw.
  * Um buraco de segurança de [15]arquivos temporários foi consertado no
	sgml-tools.
  * [16]Dois buracos de segurança na glibc do stable, ambos exploits de
	root foram consertados. (Note que o conserto quebrou o ldd em
	binários suid então uma atualização será possivelmente lançada
	para consertar isso.)
  * Um [17]buffer overflow remotamente exploitável no slrn do stable.
  * O Joe [18]inseguramente lê o .joerc do diretório atual, isso era
	exploitável localmente o joe era rodado em diretório como /tmp.
  * Um [19]buffer overflow exploitável remotamente no gnuserv e no xemacs.
  * Vários [20]exploits remotos no Zope.
  * Um [21]buffer overflow no mailx que poderia dar acesso local ao grupo
	mail.
    
O time de segurança merece muitos agradecimentos por seu trabalho duro
nessa semana.

---------------------------------------------------------------------------
Referências
  1. http://lists.debian.org/debian-dpkg-0103/msg00024.html
  2. http://lists.debian.org/debian-dpkg-0103/msg00046.html
  3. http://lists.debian.org/debian-dpkg-0103/msg00035.html
  4. http://www.fs.tum.de/~bunk/kernel-24.html
  5. http://lists.debian.org/debian-devel-announce-0103/msg00008.html
  6. http://master.debian.org/~joey/2.2r3/
  7. http://lists.debian.org/debian-devel-announce-0103/msg00005.html
  8. http://lists.debian.org/debian-devel-announce-0103/msg00009.html
  9. http://www.debian.org/security/2001/dsa-032
  10. http://www.debian.org/security/2001/dsa-033
  11. http://www.debian.org/security/2001/dsa-034
  12. http://www.debian.org/security/2001/dsa-035
  13. http://www.debian.org/security/2001/dsa-036
  14. http://www.debian.org/security/2001/dsa-037
  15. http://www.debian.org/security/2001/dsa-038
  16. http://www.debian.org/security/2001/dsa-039
  17. http://www.debian.org/security/2001/dsa-040
  18. http://www.debian.org/security/2001/dsa-041
  19. http://www.debian.org/security/2001/dsa-042
  20. http://www.debian.org/security/2001/dsa-043
  21. http://lists.debian.org/debian-security-announce-01/msg00042.html

-- 
see shy jo
teh mais!

-- 
Gustavo Noronha Silva - kov
/*******************************************************  .''`.
* http://www.metainfo.org/kov			       * : :'  :
* GPG Key: http://www.metainfo.org/kov/html/pgp.html   * `. `'`
* http://www.brainbench.com/transcript.jsp?pid=2448987 *   `-
*******************************************************/ Debian

Attachment: pgpavnxh7IPxg.pgp
Description: PGP signature

Reply to:

Prev by Date: Notícias Semanais do Debian 08 de março de 2001
Next by Date: Novo tradutor
Previous by thread: Notícias Semanais do Debian 08 de março de 2001
Next by thread: Novo tradutor
Index(es):
- Date
- Thread