[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 316-3] Novo pacote jnethack corrige estouro de buffer e permissões incorretas

------------------------------------------------------------------------
Alerta de Segurança Debian DSA 316-3                 security@debian.org
http://www.debian.org/security/                           Matt Zimmerman
17 de Junho de 2003                   http://www.debian.org/security/faq
------------------------------------------------------------------------

Pacote        		: jnethack
Vulnerabilidade  	: estouro de buffer, permissões incorretas
Tipo de Problema   	: local
Específico ao Debian 	: não
CVE Id         		: CAN-2003-0358 CAN-2003-0359

O pacote jnethack é vulnerável a um estouro de buffer explorado via uma 
opção menos '-s' passada em linha de comando. Essa vulnerabilidade pode
ser usada por um atacante para obter o gid 'games' em um sistema onde o
jnethack estiver instalado.

Além disso, alguns binários setgid do pacote jnethack tem permissões
incorretas, isso pode permitir a um usuário que obtenha o gid 'games'
substitui-los, criando a possibilidade de outros usuários executarem
código malicioso quando executarem o jnethack.

Para a distribuição estável (woody) esses problemas foram corrigidos
na versão 1.1.5-11woody2.

Para a antiga distribuição estável (potato) esses problemas foram 
corrigidos na versão 1.1.3-4potato1.

Para a distribuição instável (sid) esses problemas foram corrigidos
na versão 1.1.5-15.

Nós recomendamos que atualize seu pacote jnethack.

------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
------------------------------------------------------------------------
 
        Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
 *******************************************************************
   .''`.   Debian Weekly News: <http://www.debian.org/News/weekly>
  : :'  :  Debian BR.........: <http://debian-br.cipsga.org.br>   
  `. `'`        Equipe de Imprensa e Traduções do Debian-BR
    `-                 O que você quer saber hoje?
 *******************************************************************
     Se você tiver notícias interessantes para serem publicadas,
     envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.

Attachment: pgpjAL9mS3Yri.pgp
Description: PGP signature

Reply to: