-------------------------------------------------------------------------- Alerta de Segurança Debian 447-1 security@debian.org http://www.debian.org/security/ Matt Zimmerman 22 de Fevereiro de 2004 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : hsftp Vulnerabilidade : formato de string Tipo de Problema : remoto Específico ao Debian : não Id(s) do CVE : CAN-2004-0159 Durante uma auditoria, Ulf Harnhammar descobriu uma vulnerabilidade de formato de string no hsftp. Essa vulnerabilidade pode ser explorada por um atacante capaz de criar arquivos em um servidor remoto com nomes cuidadosamente trabalhados, pelo qual um usuário pode conectar-se usando o hsftp. Quanto o usuário requisita uma listagem de diretórios, bytes particulares na memória podem ser reescritos, potencialmente permitindo execução arbitrária de código com os privilégios do usuário que estiver executando o hsftp. Note que o hsftp é instalado com setuid root, ele somente usa esses privilégios para adquirir memória travada, e depois abandona-a. Para a atual distribuição estável (woody) esse problema foi corrigido na versão 1.11-1woody1. Para a distribuição instável (sid), esse problema será corrigido em breve. Nós recomendamos que atualize seu pacotes hsftp. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce -------------------------------------------------------------------------- Henrique Pedroni Neto - kirkham <henrique@ital.org.br> ******************************************************************* .''`. Debian Weekly News: <http://www.debian.org/News/weekly> : :' : Debian BR.........: <http://debian-br.cipsga.org.br> `. `'` Equipe de Imprensa e Traduções do Debian-BR `- O que você quer saber hoje? ******************************************************************* Se você tiver notícias interessantes para serem publicadas, envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.
Attachment:
pgpdtg5NGa3E4.pgp
Description: PGP signature