[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 260-1] Novo pacote file corrige estouro de buffer

----------------------------------------------------------------------------
Alerta de Segurança Debian DSA-260-1                     security@debian.org
http://www.debian.org/security/                                Michael Stone
13 de Março de 2003                       http://www.debian.org/security/faq
----------------------------------------------------------------------------

Pacote 			: file
Vulnerabilidade 	: estouro de buffer
Específico ao Debian 	: não
Id do CVE 		: CAN-2003-0102

O iDEFENSE descobriu uma vulnerabilidade do tipo estouro de buffer na analise
de formato ELF do comando "file", isso pode ser utilizado para executar 
código arbitrariamente com os privilégios do usuário executando o comando.
A vulnerabilidade pode ser explorada através de um binário ELF especialmente
trabalhado que então entra no arquivo. A falha pode ser consumada deixando o
binário no sistema de arquivos e esperando por alguém que use o file para 
identificá-lo, ou repassando ele para um serviço que usa o file para 
classificar a entrada (Por exemplo, alguns filtros de impressão rodam o 
file para determinar como processar a entrada que vai em direção a impressora).

Pacotes corrigidos estão disponíveis na versão 3.28-1.potato.1 para a Debian 
2.2 (potato) e na versão 3.37-3.1.woody.1 para a Debian 3.0 (woody). 

Nós recomendamos que você atualize seu pacote file imediatamente.

--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------
	
        Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
 *******************************************************************
   .''`.   Debian Weekly News: <http://www.debian.org/News/weekly>
  : :'  :  Debian BR.........: <http://debian-br.cipsga.org.br>   
  `. `'`        Equipe de Imprensa e Traduções do Debian-BR
    `-                 O que você quer saber hoje?
 *******************************************************************
     Se você tiver notícias interessantes para serem publicadas,
     envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.

Attachment: dsa-260-1
Description: Binary data

Attachment: pgpu8vZxUE3ug.pgp
Description: PGP signature

Reply to: