NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2000-q4

Subject: [atualizacoes-anuncio] [CLSA-2000:343] Anúncio de Segurança do Conectiva Linux - ghostscript
From: secureconectiva.com.br
Date: Thu Nov 23 2000 - 11:26:28 CST

Next message: secureconectiva.com.br: "[atualizacoes-anuncio] [CLSA-2000:344] Anúncio de Segurança do Conectiva Linux - netscape"
Previous message: secureconectiva.com.br: "[atualizacoes-anuncio] [CLSA-2000:342] Anúncio de Segurança do Conectiva Linux - ethereal"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -----------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -----------------------------------------------------------------------

PACOTE : ghostscript
RESUMO : Arquivos temporários e bibliotecas dinâmicas
DATA : 2000-11-23 15:26:00
ANÚNCIO : CLSA-2000:343
EDIÇÕES : 4.0, 4.0es, 4.1, 4.2, 5.0, prg gráficos, ecommerce, 5.1

- -----------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
"ghostscript" é um pacote usado para trabalhar com arquivos em
postscript (.ps) e também possui diversos filtros usados para
impressão.
Há dois problemas no pacote enviado com o Conectiva Linux:
1) O programa não lidava de forma segura com arquivos temporários,
podendo permitir um ataque do tipo symlink para sobreescrever
arquivos no sistema (dadas as permissões corretas);
2) Uma opção em tempo de compilação estava incorreta o que fazia com
que os binários gerados também procurassem por bibliotecas dinâmicas
no diretório corrente e não apenas nos diretórios do sistema (como se
LD_LIBRARY_PATH estivesse setada para "."). Um atacante que
conseguisse colocar uma biblioteca falsa no diretório corrente
poderia ocasionar a execução de comandos arbitrários na máquina com
os mesmos privilégios do usuário rodando o programa.
Os novos pacotes corrigem estes problemas.

SOLUÇÃO
Todos os usuários devem atualizar o pacote ghostscript.

- -----------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva que pode ser obtida em http://www.conectiva.com.br/contato e
em diversos servidores de chaves na internet.

- -----------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://www.conectiva.com.br/suporte/atualizacoes
Instruções genéricas para atualizações são fornecidas na mesma página.

- -----------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://seguranca.conectiva.com.br
para obter mais informações.

- -----------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.4 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE6HVNC42jd0JmAcZARAjF3AKCMq+p+FHImFgZ8aagm6/GSetFPuQCgpb4y
XmEtCd0tnYZlPAFpYy05b+U=
=qua3
-----END PGP SIGNATURE-----

Next message: secureconectiva.com.br: "[atualizacoes-anuncio] [CLSA-2000:344] Anúncio de Segurança do Conectiva Linux - netscape"
Previous message: secureconectiva.com.br: "[atualizacoes-anuncio] [CLSA-2000:342] Anúncio de Segurança do Conectiva Linux - ethereal"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]