-------------------------------------------------------------------------- Alerta de Segurança Debian DSA-967-1 security@debian.org http://www.debian.org/security/2006/dsa-967 10 de Fevereiro de 2006 http://www.debian.org/security/faq -------------------------------------------------------------------------- Essa é uma tradução do DSA (Debian Security Advisory - Alerta de Segurança Debian) que é enviado para a lista [1]debian-security-announce e, por esse motivo, há um atraso entre o anúncio original em inglês e esta tradução. Caso queira receber os alertas em inglês, [2]inscreva-se na lista. 1.http://lists.debian.org/debian-security-announce 2. Envie um e-mail para debian-security-announce-request@lists.debian.org e coloque no campo assunto a palavra "subscribe". -------------------------------------------------------------------------- Vulnerabilidade : várias vulnerabilidades CVE ID : [3]CVE-2005-4439, [4]CVE-2006-0347, [5]CVE-2006-0348 [6]CVE-2006-0597, [7]CVE-2006-0598, [8]CVE-2006-0599 [9]CVE-2006-0600 Vários problemas de segurança foram encontrados no elog, um diário eletrônico para gerenciar anotações. O projeto [10]Common Vulnerabilities and Exposures identificou os seguintes problemas: CVE-2005-4439 "GroundZero Security" descobriu que o elog não verifica suficientemente o tamanho do buffer usado para processar parâmetros de URL, o que pode levar à execução de código arbitrário. CVE-2006-0347 Foi descoberto que o elog contém uma vulnerabilidade "directory traversal" no processamento de sequências de "../" em URLs, que pode levar à divulgação de informações. CVE-2006-0348 O código de escrita do log contém uma vulnerabilidade de formato de string que pode levar à execução de código arbitrário. CVE-2006-0597 Sobrescrever atributos de revisão longos pode disparar uma falha ("crash") devido a um estouro de buffer. CVE-2006-0598 O código de escrita do arquivo de log não reforça a verificação de limites apropriadamente, o que pode levar à execução de código arbitrário. CVE-2006-0599 elog emitiu mensagens de erro diferentes para senha inválida e usuários inválidos, o que permite a um atacante buscar por nomes de usuários válidos. CVE-2006-0600 Um atacante pode andar por infinitos redirecionamentos com uma requisição "fail" forjada, que tem potencial negação de serviço. A antiga distribuição estável ("woody") não contém o pacote elog. Para a distribuição estável ("sarge") estes problemas foram corrigidos na versão 2.5.7+r1558-4+sarge2. Para a distribuição instável ("sid") estes problemas foram corrigidos na versão 2.6.1+r1642-1. Recomendamos que você atualize seu pacote elog. 10.Common Vulnerabilities and Exposures é um projeto que visa padronizar os nomes para os avisos de vulnerabilidades e exposições de segurança. Corrigido em: Debian GNU/Linux 3.1 (sarge) Fonte: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2.dsc http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2.diff.gz http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558.orig.tar.gz Alpha: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_alpha.deb AMD64: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_amd64.deb ARM: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_arm.deb Intel IA-32: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_i386.deb Intel IA-64: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_ia64.deb HPPA: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_hppa.deb Motorola 680x0: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_m68k.deb Big endian MIPS: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_mips.deb Little endian MIPS: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_mipsel.deb PowerPC: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_powerpc.deb IBM S/390: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_s390.deb Sun Sparc: http://security.debian.org/pool/updates/main/e/elog/elog_2.5.7+r1558-4+sarge2_sparc.deb Checksums MD5 dos arquivos listados estão disponíveis no [11]alerta original. 3.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4439 4.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0347 5.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0348 6.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0597 7.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0598 8.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0599 9.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0600 11.http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00044.html -- Marco Carvalho (macs) <marcocarvalho89@yahoo.com.br> ******************************************************************* .''`. Debian Weekly News: <http://www.debian.org/News/weekly> : :' : Debian BR.........: <http://debianbrasil.org> `. `'` Equipe de Imprensa e Traduções do Debian-BR `- O que você quer saber hoje?
Attachment:
signature.asc
Description: Digital signature