[Segurança] [DSA 202-2] Novos pacotes IM corrigem dependência de arquitetura desconhecida

To: d-n-p <debian-news-portuguese@lists.debian.org>
Subject: [Segurança] [DSA 202-2] Novos pacotes IM corrigem dependência de arquitetura desconhecida
From: Michelle Ribeiro <michelle@focalinux.org>
Date: Fri, 6 Dec 2002 13:27:51 +0000
Message-id: <[🔎] 20021206132751.10f80687.michelle@focalinux.org>

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 202-2                   security@debian.org
http://www.debian.org/security/                             Martin Schulze
06 de Dezembro de 2002			http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote			: im
Vulnerabilidade		: arquivos temporários
Tipo de Problema	: local
Específico ao Debian	: não

Diferente do que pensavamos, os pacotes IM não são independentes de arquitetura,
uma vez que o número de chamadas de sistemas fsync é detectado na hora da 
compilação e este número difere nas arquiteturas Linux e outros sistemas 
operacionais. Como resultado disso, a característica opcional ``NoSync=no''
funciona somente na arquitetura em que o pacote foi construído. Como sempre, 
nós incluímos o texto do alerta original, DSA 202-1:

   Tatsuya Kinoshita descobriu que o IM, que contém comandos de interface 
   e bibliotecas do Perl para E-mail e NetNews, cria arquivos temporários
   de forma insegura.

   1. O programa impwagent cria um diretório temporário de uma maneira
      insegura em /tmp usando nomes de diretórios previsíveis sem checar
      o código de retorno do mkdir, então é possível pegar a permissão
      de um diretório temporário acessando a máquina localmente como um
      usuário qualquer.
		
   2. O programa immknmz cria um arquivo temporário de maneira insegura 
      em /tmp usando um nome de arquivo previsível, então o atacante com
      acesso local pode facilmente criar e sobrescrever arquivos como 
      outro usuário.

O problema foi corrigido na versão 141-18.2 para a atual distribuição
estável (woody), na versão 133-2.3 da antiga distribuição estável 
(potato).  Uma correção para a distribuição instável (sid) é aguardada
para breve. 

Nós recomendamos que você atualize seu pacote IM.

--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------

Attachment: pgpnJF8Yieuh4.pgp
Description: PGP signature

Reply to:

Prev by Date: [Segurança] [DSA 192-2] Novos pacotes html2ps corrigem execução arbitrária de código
Next by Date: Debian Weekly News - 3 de Dezembro de 2002
Previous by thread: [Segurança] [DSA 192-2] Novos pacotes html2ps corrigem execução arbitrária de código
Next by thread: Debian Weekly News - 3 de Dezembro de 2002
Index(es):
- Date
- Thread