[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 447-1] Novo pacote hsftp corrige vulnerabilidade de formato de string

--------------------------------------------------------------------------
Alerta de Segurança Debian 447-1		       security@debian.org
http://www.debian.org/security/			            Matt Zimmerman
22 de Fevereiro de 2004			http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote			: hsftp
Vulnerabilidade		: formato de string
Tipo de Problema	: remoto
Específico ao Debian	: não
Id(s) do CVE		: CAN-2004-0159

Durante uma auditoria, Ulf Harnhammar descobriu uma vulnerabilidade de 
formato de string no hsftp.  Essa vulnerabilidade pode ser explorada 
por um atacante capaz de criar arquivos em um servidor remoto com 
nomes cuidadosamente trabalhados, pelo qual um usuário pode conectar-se
usando o hsftp.  Quanto o usuário requisita uma listagem de diretórios,
bytes particulares na memória podem ser reescritos, potencialmente
permitindo execução arbitrária de código com os privilégios do 
usuário que estiver executando o hsftp.

Note que o hsftp é instalado com setuid root, ele somente usa esses
privilégios para adquirir memória travada, e depois abandona-a.

Para a atual distribuição estável (woody) esse problema foi corrigido na
versão 1.11-1woody1.

Para a distribuição instável (sid), esse problema será corrigido em breve.

Nós recomendamos que atualize seu pacotes hsftp.

--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------
	
        Henrique Pedroni Neto - kirkham <henrique@ital.org.br>
 *******************************************************************
   .''`.   Debian Weekly News: <http://www.debian.org/News/weekly>
  : :'  :  Debian BR.........: <http://debian-br.cipsga.org.br>   
  `. `'`        Equipe de Imprensa e Traduções do Debian-BR
    `-                 O que você quer saber hoje?
 *******************************************************************
     Se você tiver notícias interessantes para serem publicadas,
     envie-nas para <debian-br-imprensa@listas.cipsga.org.br>.

Attachment: pgpdtg5NGa3E4.pgp
Description: PGP signature

Reply to: