-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 159-2 security@debian.org http://www.debian.org/security/ Martin Schulze 09 de Setembro de 2002 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : python Vulnerabilidade : arquivos temporários inseguros Tipo de Problema : local Específico ao Debian : não ID do BugTraq : 5581 A correção que distribuimos no DSA 151-1 infelizmente fez com que o Python as vezes se comporte de maneira inapropriada quando um arquivo não executável existia antes no path e um executável com o mesmo nome existia depois no path. Zack Weinberg corrigiu isso no fonte do Python. Para referência aqui está o texto do alerta original: O Zack Weinberg descobriu um uso inseguro de arquivos temporários no os._execvpe do os.py. Isso usa um nome previsível que pode levar a execução de código arbitrário. Esse problema foi corrigido em várias versões da Python: Para a atual distribuição estável (woody) isso foi corrigido na versão 1.5.2-23.1 da Python 1.5, na versão 2.1.3-3.1 da Python 2.1 e na versão 2.2.1-4.1 da Python 2.2. Para a antiga distribuição estável (potato) isso foi corrigido na versão 1.5.2-10potato12 para a Python 1.5. Para a distribuição instável (sid) isso foi corrigido na versão 1.5.2-24 da Python 1.5, na 2.1.3-6a da Python 2.1 e na versão 2.2.1-8 da Python 2.2. A Python 2.3 não foi afetada por esse problema. Nós recomendamos que você atualize seus pacotes Python imediatamente. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce -------------------------------------------------------------------------- Henrique Pedroni Neto - kirkham <henrique@ital.org.br> ******************************************************************* .''`. Debian Weekly News: <http://www.debian.org/News/weekly> : :' : Debian BR.........: <http://debian-br.cipsga.org.br> `. `'` Equipe de Imprensa e Traduções do Debian-BR `- O que você quer saber hoje? ******************************************************************* Se você tiver notícias interessantes para serem publicadas, envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpha9RoYzIAm.pgp
Description: PGP signature