[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 159-2] Novo pacote Python corrige uso inseguro de arquivos temporários

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 159-2                   security@debian.org
http://www.debian.org/security/                             Martin Schulze
09 de Setembro de 2002			http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote			: python
Vulnerabilidade		: arquivos temporários inseguros
Tipo de Problema	: local
Específico ao Debian	: não
ID do BugTraq		: 5581

A correção que distribuimos no DSA 151-1 infelizmente fez com que o Python
as vezes se comporte de maneira inapropriada quando um arquivo não
executável existia antes no path e um executável com o mesmo nome existia
depois no path. Zack Weinberg corrigiu isso no fonte do Python.  Para
referência aqui está o texto do alerta original:

 O Zack Weinberg descobriu um uso inseguro de arquivos temporários no
 os._execvpe do os.py.  Isso usa um nome previsível que pode levar
 a execução de código arbitrário.

 Esse problema foi corrigido em várias versões da Python: Para a atual
 distribuição estável (woody) isso foi corrigido na versão
 1.5.2-23.1 da Python 1.5, na versão 2.1.3-3.1 da Python 2.1 e na versão
 2.2.1-4.1 da Python 2.2.  Para a antiga distribuição estável
 (potato) isso foi corrigido na versão 1.5.2-10potato12 para a Python
 1.5. Para a distribuição instável (sid) isso foi corrigido na versão
 1.5.2-24 da Python 1.5, na 2.1.3-6a da Python 2.1 e na versão
 2.2.1-8 da Python 2.2.  A Python 2.3 não foi afetada por esse problema.

 Nós recomendamos que você atualize seus pacotes Python imediatamente.

--------------------------------------------------------------------------
 Essa é uma tradução do DSA original, enviado para a lista 
 debian-security-announce@lists.debian.org. Caso queira receber os 
 alertas em inglês e minutos depois de sua publicação, inscreva-se na 
 lista acima, através do endereço:
 http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------

        Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
 *******************************************************************
   .''`.   Debian Weekly News: <http://www.debian.org/News/weekly>
  : :'  :  Debian BR.........: <http://debian-br.cipsga.org.br>   
  `. `'`        Equipe de Imprensa e Traduções do Debian-BR
    `-                 O que você quer saber hoje?
 *******************************************************************
     Se você tiver notícias interessantes para serem publicadas,
     envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.

Attachment: pgpha9RoYzIAm.pgp
Description: PGP signature

Reply to: