OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
Subject: Conectiva Linux security announcemente - PERL
From: Sergio Bruder (bruderCONECTIVA.COM.BR)
Date: Thu Aug 10 2000 - 12:49:16 CDT


Reply-To:
----------------------------------------------------------------------
CONECTIVA LINUX SECURITY ANNOUNCEMENT
----------------------------------------------------------------------

PACKAGE : perl
SUMMARY : Local root exploit
DATE : 2000-08-10
AFFECTED CONECTIVA VERSIONS : 4.0, 4.0es, 4.1, 4.2, 5.0, 5.1, e-commerce
                              and graphic tools

DESCRIPTION
sperl, shipped with the perl package, is a SUID root program that, under
certain conditions, uses /bin/mail to send out a warning. This is done
in an insecure manner and can be exploited to obtain root privileges.

SOLUTION
All users should upgrade immediately. The new package:
- no longer has sperl SUID root. Users requiring this feature should
  manually enable the SUID bit.
- no longer sends out an email under those conditions.
Users of Conectiva Linux 5.0, e-commerce and graphic tools should also
install the perl-MD5 package, since the new perl package does not
contain this module. Users of other versions already have the perl-MD5
package.

DIRECT DOWNLOAD LINKS TO UPDATED PACKAGES
ftp://atualizacoes.conectiva.com.br/4.0/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/perl-MD5-1.7-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/perl-MD5-1.7-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/perl-MD5-1.7-6cl.i386.rpm

DIRECT LINK TO THE SOURCE PACKAGES
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/perl-MD5-1.7-6cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/perl-MD5-1.7-6cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/perl-MD5-1.7-6cl.src.rpm

----------------------------------------------------------------------

All packages are signed with Conectiva's GPG key. The key can be obtained at
http://www.conectiva.com.br/conectiva/contato.html

----------------------------------------------------------------------
subscribe: atualizacoes-anuncio-subscribebazar.conectiva.com.br
unsubscribe: atualizacoes-anuncio-unsubscribebazar.conectiva.com.br