OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
Subject: [atualizacoes-anuncio] [CLA-2000:357] Anúncio de Segurança do Conectiva Linux - rp-pppoe
From: secureconectiva.com.br
Date: Tue Dec 12 2000 - 11:42:29 CST

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -----------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -----------------------------------------------------------------------

PACOTE : rp-pppoe
RESUMO : Negação de serviço
DATA : 2000-12-12 15:41:00
ANÚNCIO : CLA-2000:357
EDIÇÕES : 6.0

- -----------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 rp-pppoe é um programa usado basicamente em conexões ADSL onde o
 provedor do serviço trabalha com PPP.
 A versão distribuída com o Conectiva Linux 6.0 possui uma
 vulnerabilidade do tipo negação de serviço. Se for usada a opção
 CLAMP_MSS (por padrão, ela é usada) e for recebido um segmento TCP
 com um campo "options" mas de tamanho indicado zero (ou seja,
 inválido), o programa entrará em um loop infinito e eventualmente o
 daemon ppp irá derrubar a conexão.

SOLUÇÃO
 Todos os usuários do pacote rp-pppoe devem atualizar o programa.
 
 Gostaríamos de agradecer a David F. Skoll por liberar uma nova versão
 e a Robert Schlabbach por reportar o problema ao autor.

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/rp-pppoe-2.5-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/rp-pppoe-2.5-1cl.i386.rpm

INSTRUÇÕES ADICIONAIS
 Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
 atualizações:
 - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
 acrescente-a:

 rpm [cncbr] ftp://atualizacoes.conectiva.com.br 6.0/conectiva updates

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -----------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva que pode ser obtida em http://www.conectiva.com.br/contato e
em diversos servidores de chaves na internet.

- -----------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://www.conectiva.com.br/suporte/atualizacoes/
Instruções genéricas para atualizações são fornecidas na mesma página.

- -----------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://seguranca.conectiva.com.br
para obter mais informações.

- -----------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.4 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE6NmOE42jd0JmAcZARAlkZAJ91Vgk7ur1Bsl21Zo4uhmY7tmWWpQCcDiuJ
sz6Z6i/6dbG+Bwvtc9qblno=
=r4Kq
-----END PGP SIGNATURE-----