- ------------------------------------------------------------------------
Informativo de Segurança do Debian DSA-044-1 security@debian.org
http://www.debian.org/security/ Wichert Akkerman
13 de Março de 2001
- ------------------------------------------------------------------------
Pacote : mailx
Tipo de problema : buffer overflow
Específico ao Debian: não
O programa mail (um utilitário simples para ler e enviar e-mail), da forma como
está atualmente no Debian GNU/Linux 2.2 possui um buffer overflow no código do
processamento da entrada. Como mail é instalado setgid mail por padrão isso
permitiu que usuários locais pudessem usá-lo para obter acesso ao grupo mail.
Como o código do mail não foi escrito com o objetivo de ser seguro, consertá-lo
normalmente envolveria uma grande modificação no código atual dele. Em vez de
fazer isso, nós decidimos não mais instalá-lo setgid. Isso quer dizer que ele
não pode mais travar sua mailbox apropriadamente em sistemas nos quais você
precisa que o grupo mail tenha acesso de gravação ao spool de mail, mas ele
ainda funcionará para o envio de mensagens.
Isso foi corrigido na versão 8.1.1-10.1.5 do mailx. Se você possuir o
suidmanager instalado você também pode fazê-lo localmente com o seguinte
comando:
suidregister /usr/bin/mail root root 0755
wget url
baixará o arquivo para você
dpkg -i arquivo.deb
instalará o arquivo mencionado.
Debian GNU/Linux 2.2 codinome potato
- -------------------------------------
Potato foi liberado para as arquiteturas alpha, arm, i386, m68k,
powerpc e sparc.
Arquivos do código fonte:
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.d
iff.gz
MD5 checksum: bfc7cf2139819cb25750cddc4c939931
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.d
sc
MD5 checksum: 564992494f775638eeae0bc3427c513a
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1.orig.tar
.gz
MD5 checksum: c779002cb043b57fd5198ec2032cacb0
Arquitetura Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/mailx_8.1.1-10
.1.5_alpha.deb
Arquitetura ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/mailx_8.1.1-10.1
.5_arm.deb
MD5 checksum: 8c50598bb486d62ad312730083e674f1
Arquitetura Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/mailx_8.1.1-10.
1.5_i386.deb
MD5 checksum: 18d30b35676fa9887a626c46909c9d9d
Arquitetura Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/mailx_8.1.1-10.
1.5_m68k.deb
MD5 checksum: 86ef8e4cf85e1634096ba52ed1f10987
Arquitetura PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/mailx_8.1.1-
10.1.5_powerpc.deb
MD5 checksum: 97ec939047cdb7025095701df840838e
Arquitetura Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/mailx_8.1.1-10
.1.5_sparc.deb
MD5 checksum: 7b22c952196f2e604558d4b12ef23932
Esses arquivos serão movidos para
ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ em breve.
Para arquiteturas que ainda não foram liberadas favor consultar o diretório
apropriado ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ .
-- Carlos Laviola - ICQ 55799523
pub 1024D/3516D372 2000-06-05 Carlos Laviola <claviola@ajato.com.br>
Key fingerprint = 3BE1 6591 C78C 2AA4 31DD AEEF 6406 0227 3516 D372
I have a solar vocal ail!
Attachment:
pgpgEfPYRKcqa.pgp
Description: PGP signature