[Seguran

To: debian-news-portuguese@lists.debian.org
Subject: [Seguran
From: Henrique Pedroni Neto <kirkham@uol.com.br>
Date: Wed, 21 Aug 2002 11:36:51 -0300
Message-id: <[🔎] 20020821113651.3c41f0f3.kirkham@uol.com.br>

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 155-1                   security@debian.org
http://www.debian.org/security/                             Martin Schulze
21 de Agosto de 2002			http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote			: kdelibs
Vulnerabilidade		: escalagem de privacidade com o Konquerer
Tipo de Problema	: local e remoto
Específico ao Debian	: não

Devido a uma omissão na engenharia de segurança, a biblioteca SSL do KDE
a qual o konqueror usa, não checa se um certificado intermediário para uma
conexão é certificado pela autoridade certificadora que tem essa
finalidade de segurança. Mas aceita ele se for certificado. Isso faz com
que seja possivel para qualquer um com um certificado VeriSign SSL válido,
forjar outro cetificado VeriSign SSL, e abusar dos usuários do Konqueror.

Uma exploração local root usando o artsd foi descoberta com a exploração
do uso inseguro de um formato de string. Essa somente funciona num
sistema Debian se o artsd estiver rodando com o setuid para o root. Nem 
o artsd nem o artswrapper necessitam do setuid para o root desde
que os sistemas dos computadores atuais são rápidos o suficiente para 
trabalhar com arquivos de audio.
 
Esses problemas foram corrigidos na versão 2.2.2-13.woody.2 para a
distribuição estável atual (woody). A versão estável antiga (potato)
nãp é afetada, pois não contém os pacotes do KDE. A distribuição instável
(sid) ainda não foi corrigida, mas novos pacotes são esperados futuramente
para as versões 2.2.2-14 ou posterior.

Nós recomendamos que você faça o upgrade dos pacotes kdelibs e libarts,
e reinicie o Konqueror.

--------------------------------------------------------------------------
Essa é uma tradução do DSA origial, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------

Henrique Pedroni Neto - kirkham <henrique@ital.org.br>

Reply to:

Prev by Date: [Securança] [DSA 153-2] Novo pacote mantis corrige várias vulnerabilidades
Next by Date: Debian Weekly News - 20 de Agosto de 2002
Previous by thread: [Securança] [DSA 153-2] Novo pacote mantis corrige várias vulnerabilidades
Next by thread: Debian Weekly News - 20 de Agosto de 2002
Index(es):
- Date
- Thread