Re: [atualizacoes-anuncio] [CLA-2002:474] Anúncio de Segurança do Conectiva Linux - ethereal
Coneclixo Informa
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> -
> -------------------------------------------------------------------------
> ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
> -
> -------------------------------------------------------------------------
>
> PACOTE : ethereal
> RESUMO : Vulnerabilidades no tratamento de pacotes
> DATA : 2002-04-25 14:21:00
> ANÚNCIO : CLA-2002:474
> EDIÇÕES : 5.0, 5.1, 6.0, 7.0
>
> -
> -------------------------------------------------------------------------
>
> DESCRIÇÃO DO PROBLEMA
> Ethereal é um poderoso analisador de tráfego de rede com uma
> interface intuitiva.
>
> Esta atualização corrige duas vulnerabilidades reportadas no site do
> ethereal:
>
> 1. Tratamento de strings SNMP e LDAP[1]
> O conjunto de testes PROTOS[2] mostrou alguns problemas no suporte
> dos protocolos SNMP e LDAP do ethereal. Um atacante poderia
> aproveitar-se dessa vulnerabilidade para executar código arbitrário
> na máquina do usuário executando ethereal (que geralmente é executado
> como root) enviando pacotes cuidadosamente criados pela rede ou
> convencendo alguém a abrir um arquivo de captura contendo tais
> pacotes.
>
> 2.Alocação inválida de memória[3]
> As rotinas de tratamento de strings do módulo ASN.1 tinham problemas
> que podiam levar um atacante a interromper a execução do programa
> utilizando-se do envio de pacotes mal formados à rede. As rotinas ASN
> são utilizadas na decodificação de tráfego dos protocolos SNMP, LDAP,
> COPS e Kerberos.
>
> Há uma terceira vulnerabilidade reportada no site do ethereal
> (relacionada à biblioteca zlib) que já foi resolvida em um anúncio
> prévio[4].
>
>
> SOLUÇÃO
> Todos os usuários do utilitário ethereal devem fazer a atualização.
>
>
> REFERÊNCIAS:
> 1.http://www.ethereal.com/appnotes/enpa-sa-00001.html
> 2.http://www.ee.oulu.fi/research/ouspg/protos
> 3.http://www.ethereal.com/appnotes/enpa-sa-00003.html
> 4.http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000469
>
>
> PACOTES RPM
>
ftp://atualizacoes.conectiva.com.br/5.0/i386/ethereal-0.9.3-1U50_1cl.i386.rpm
>
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/ethereal-0.9.3-1U50_1cl.src.rpm
>
ftp://atualizacoes.conectiva.com.br/5.1/i386/ethereal-0.9.3-1U51_1cl.i386.rpm
>
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/ethereal-0.9.3-1U51_1cl.src.rpm
>
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/ethereal-0.9.3-1U60_1cl.i386.rpm
>
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/ethereal-0.9.3-1U60_1cl.src.rpm
>
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/ethereal-0.9.3-1U70_1cl.i386.rpm
>
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/ethereal-0.9.3-1U70_1cl.src.rpm
>
>
> INSTRUÇÕES ADICIONAIS
> Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
> atualizações de pacotes RPM:
> - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
> acrescente-a:
>
> rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates
>
> (substitua "versão" pela sua versão. Por exemplo, 7.0)
>
> - execute: apt-get update
> - seguido por: apt-get upgrade
>
> Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
> http://distro.conectiva.com.br/atualizacoes/#apt
>
> -
> -------------------------------------------------------------------------
> Todos os pacotes listados aqui também são assinados com a chave GPG da
> Conectiva. A chave, bem como instruções de como importá-la, pode ser
> encontrada em http://distro.conectiva.com.br/seguranca/chave/.
> Instruções para checar a assinatura dos pacotes podem ser encontradas em
> http://distro.conectiva.com.br/seguranca/politica/.
>
> -
> -------------------------------------------------------------------------
> Todos os anúncios de atualizações são armazenados e podem ser consultados
> na página http://distro.conectiva.com.br/atualizacoes/.
> Instruções genéricas para atualizações são fornecidas na mesma página.
>
> -
> -------------------------------------------------------------------------
> A Conectiva possui uma lista pública para discutir assuntos de segurança
> relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
> para obter mais informações.
>
> -
> -------------------------------------------------------------------------
> cadastramento: atualizacoes-anuncio-subscribe@papaleguas.conectiva.com.br
> cancelamento: atualizacoes-anuncio-unsubscribe@papaleguas.conectiva.com.br
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.0.6 (GNU/Linux)
> Comment: For info see http://www.gnupg.org
>
> iD8DBQE8yDsu42jd0JmAcZARAqs9AJ4kAAnbMh7L4J1c6vwRBq3KLtuvHACfbaQt
> GomXCA/TtgFZGjyT4bSrsB4=
> =C0no
> -----END PGP SIGNATURE-----
>
--
GMX - Die Kommunikationsplattform im Internet.
http://www.gmx.net
--
To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: