- ------------------------------------------------------------------------ Informativo de Segurança do Debian DSA-044-1 security@debian.org http://www.debian.org/security/ Wichert Akkerman 13 de Março de 2001 - ------------------------------------------------------------------------ Pacote : mailx Tipo de problema : buffer overflow Específico ao Debian: não O programa mail (um utilitário simples para ler e enviar e-mail), da forma como está atualmente no Debian GNU/Linux 2.2 possui um buffer overflow no código do processamento da entrada. Como mail é instalado setgid mail por padrão isso permitiu que usuários locais pudessem usá-lo para obter acesso ao grupo mail. Como o código do mail não foi escrito com o objetivo de ser seguro, consertá-lo normalmente envolveria uma grande modificação no código atual dele. Em vez de fazer isso, nós decidimos não mais instalá-lo setgid. Isso quer dizer que ele não pode mais travar sua mailbox apropriadamente em sistemas nos quais você precisa que o grupo mail tenha acesso de gravação ao spool de mail, mas ele ainda funcionará para o envio de mensagens. Isso foi corrigido na versão 8.1.1-10.1.5 do mailx. Se você possuir o suidmanager instalado você também pode fazê-lo localmente com o seguinte comando: suidregister /usr/bin/mail root root 0755 wget url baixará o arquivo para você dpkg -i arquivo.deb instalará o arquivo mencionado. Debian GNU/Linux 2.2 codinome potato - ------------------------------------- Potato foi liberado para as arquiteturas alpha, arm, i386, m68k, powerpc e sparc. Arquivos do código fonte: http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.d iff.gz MD5 checksum: bfc7cf2139819cb25750cddc4c939931 http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.d sc MD5 checksum: 564992494f775638eeae0bc3427c513a http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1.orig.tar .gz MD5 checksum: c779002cb043b57fd5198ec2032cacb0 Arquitetura Alpha: http://security.debian.org/dists/stable/updates/main/binary-alpha/mailx_8.1.1-10 .1.5_alpha.deb Arquitetura ARM: http://security.debian.org/dists/stable/updates/main/binary-arm/mailx_8.1.1-10.1 .5_arm.deb MD5 checksum: 8c50598bb486d62ad312730083e674f1 Arquitetura Intel ia32: http://security.debian.org/dists/stable/updates/main/binary-i386/mailx_8.1.1-10. 1.5_i386.deb MD5 checksum: 18d30b35676fa9887a626c46909c9d9d Arquitetura Motorola 680x0: http://security.debian.org/dists/stable/updates/main/binary-m68k/mailx_8.1.1-10. 1.5_m68k.deb MD5 checksum: 86ef8e4cf85e1634096ba52ed1f10987 Arquitetura PowerPC: http://security.debian.org/dists/stable/updates/main/binary-powerpc/mailx_8.1.1- 10.1.5_powerpc.deb MD5 checksum: 97ec939047cdb7025095701df840838e Arquitetura Sun Sparc: http://security.debian.org/dists/stable/updates/main/binary-sparc/mailx_8.1.1-10 .1.5_sparc.deb MD5 checksum: 7b22c952196f2e604558d4b12ef23932 Esses arquivos serão movidos para ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ em breve. Para arquiteturas que ainda não foram liberadas favor consultar o diretório apropriado ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ . -- Carlos Laviola - ICQ 55799523 pub 1024D/3516D372 2000-06-05 Carlos Laviola <claviola@ajato.com.br> Key fingerprint = 3BE1 6591 C78C 2AA4 31DD AEEF 6406 0227 3516 D372 I have a solar vocal ail!
Attachment:
pgpgEfPYRKcqa.pgp
Description: PGP signature