NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2001-q3

From: secureconectiva.com.br
Date: Wed Jul 25 2001 - 16:25:53 CDT

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : imp
RESUMO : Vulnerabilidade remota afeta o webmail IMP
DATA : 2001-07-25 18:21:00
ANÚNCIO : CLA-2001:410
EDIÇÕES : 4.1, 4.2, 5.0, 5.1, 6.0, 7.0

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
"imp" é um sistema de webmail.
Os autores do "imp" e do "horde" (usado pelo imp) lançaram uma nova
versão de ambos os softwares para corrigir falhas de segurança
reportadas por giancarlo pinerolo (giancarlonavigare.net) e Nick
Cleaton (nickcleaton.net). As falhas reportadas foram:

1. Atacantes remotos poderiam fazer com que o webmail buscasse e
então executasse scripts de outros servidores na internet. Isso
poderia ser usado para obter acesso ao servidor onde o webmail imp
está rodando.

2. Usando codificações especiais de "javascript:", um atacante
poderia executar comandos javascript no browser de um usuário que
estivesse lendo um email com estas codificações.

A terceira falha foi descoberta durante uma auditoria interna do time
de desenvolvedores:

3. Um atacante que puder criar um arquivo chamado "prefs.lang" em
algum local do servidor poderia fazer com que o conteúdo deste
arquivo fosse executado como código PHP.

SOLUÇÃO
É recomendado que todos os usuários do webmail IMP atualizem o
sistema.

REFERÊNCIAS
1. http://www.securityfocus.com/bid/3079
2. ftp://ftp.horde.org/pub/imp/imp-2.2.6-README

INSTRUÇÕES ADICIONAIS
Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
atualizações de pacotes RPM:
- se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
acrescente-a:

rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

(substitua "versão" pela sua versão. Por exemplo, 7.0)

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.4 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE7Xzlg42jd0JmAcZARAuY4AKCjtOqpxaiocBVSp3P7Y0ek4BSLxgCg0YF4
7SZgFs5fERWpgW9ilxCZZWg=
=aJi4
-----END PGP SIGNATURE-----

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]