[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 259-1] Novo pacote qpopper corrige escalação de privilégios do usuário

----------------------------------------------------------------------------
Alerta de Segurança Debian DSA-259-1                     security@debian.org
http://www.debian.org/security/                                Michael Stone
12 de Março de 2003                       http://www.debian.org/security/faq
----------------------------------------------------------------------------

Pacote 			: qpopper
Vulnerabilidade 	: escalação de privilégio do usuário mail
Específico ao Debian 	: no

Florian Heinz <heinz@cronon-ag.de> postou na lista de email Bugtraq uma 
exploração para o qpopper baseado num bug na implementação vsnprintf incluída.
A mesma exploração requer uma conta de usuário válida e uma senha, e 
estoura a string na função pop_msg() para dar ao usuário os privilégios
do grupo "mail" e uma shell no sistema. Como a função Qvsnprintf é usada 
em outro lugar no qpopper, explorações adicionais podem ser possíveis.

Para a distribuição estável (woody) esse problema foi corrigido na versão
4.0.4-2.woody.3.

Essa vulnerabilidade não atinge a antiga distribuição estável (potato).

Usuários utilizando versões não lançadas do debian devem atualizar para
a versão 4.0.4-9 ou mais nova.

Nós recomendamos que atualize seu pacote qpopper imediatamente.

--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------
	
        Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
 *******************************************************************
   .''`.   Debian Weekly News: <http://www.debian.org/News/weekly>
  : :'  :  Debian BR.........: <http://debian-br.cipsga.org.br>   
  `. `'`        Equipe de Imprensa e Traduções do Debian-BR
    `-                 O que você quer saber hoje?
 *******************************************************************
     Se você tiver notícias interessantes para serem publicadas,
     envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.

Attachment: pgpzSWG1R_dpb.pgp
Description: PGP signature

Reply to: