--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 324-1 security@debian.org
http://www.debian.org/security/ Matt Zimmerman
18 de Junho de 2003 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Pacote : ethereal
Vulnerabilidade : várias
Tipo de Problema : remoto
Específico ao Debian : não
Ids do CVE : CAN-2003-0428 CAN-2003-0429 CAN-2003-0431
CAN-2003-0432
Vários dissectores de pacotes no etherreal contem erros no manuseio de
strings que podem ser explorados usando pacotes trabalhados maliciosamente
para levar o ethereal a consumir quantidades excessivas de memória,
cair, ou executar código arbitrariamente.
Essas vulnerabilidades foram anunciadas no seguinte alerta de segurança do
Ethereal:
http://www.ethereal.com/appnotes/enpa-sa-00010.html
O Ethereal 0.9.4 no Debian 3.0 (woody) é afetado pela maioria dos
problemas descrevidos no alerta, incluindo:
* O dissector DCERPC pode tentar alocar muita memória enquanto
tenta decifrar uma string NDR.
* Tamanhos errados de prefixo IPv4 ou IPv6 podem causar um
estouro no dissector OSI.
* A rotina tvb_get_nstringz0() manuseia incorretamente um
um tamanho de buffer zerado.
* Os dissectores BGP, WTP, DNS, 802.11, ISAKMP, WSP, CLNP, e ISIS
manuseiam strings de forma inapropriada.
Os seguintes problemas NÃO afetam essa versão:
* O dissector SPNEGO pode dar uma falha de segmentação enquanto
tenta analisar um valor ASN.1 inválido.
* O dissector RMI manuseia strings de forma inapropriada.
Para a distribuição estável (woody) esses problemas foram corrigidos na
versão 0.9.4-1woody5.
Para a antiga distribuição estável (potato) esses problemas serão
corrigidos num alerta futuro.
Para a distribuição instável (sid) esses problemas foram corrigidos
na versão 0.9.13-1.
Nós recomendamos que atualize seu pacote ethereal.
--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista
debian-security-announce@lists.debian.org. Caso queira receber os
alertas em inglês e minutos depois de sua publicação, inscreva-se na
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------
Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
*******************************************************************
.''`. Debian Weekly News: <http://www.debian.org/News/weekly>
: :' : Debian BR.........: <http://debian-br.cipsga.org.br>
`. `'` Equipe de Imprensa e Traduções do Debian-BR
`- O que você quer saber hoje?
*******************************************************************
Se você tiver notícias interessantes para serem publicadas,
envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpxieDewFgyp.pgp
Description: PGP signature