-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : groff
RESUMO : Múltiplas vulnerabilidades no pacote groff
DATA : 2001-10-02 16:36:00
ANÚNCIO : CLA-2001:428
EDIÇÕES : 4.0, 4.0es, 4.1, 4.2, 5.0, prg graficos, ecommerce, 5.1, 6.0

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 Groff é a versão GNU do troff, um processador de documentos
 presente na maioria dos sistemas Unix. Ele é o responsável, entre
 outras coisas, por formatar as páginas de manual ("manpages") do
 sistema.
 
 São dois os principais problemas solucionados neste release:
 
 1. A ISS X-Force publicou um anúncio[1] com respeito a uma
 vulnerabilidade nos utilitários do groff que permite a leitura e
 execução de comandos a partir de arquivos do diretório corrente. Um
 atacante poderia explorar esta vulnerabilidade criando certos
 arquivos em diretórios da máquina. Um usuário qualquer que executasse
 operações com o interpretador groff em um desses diretórios (como
 visualizar uma página de manual) poderia inadvertidamente executar
 comandos arbitrários escolhidos pelo atacante.
 
 2. Zenith Parse descobriu uma vulnerabilidade[2] do tipo formatação
 de strings ("format string bug") no comando pic (utilizado por
 exemplo pelo servidor de impressão) que permite a um atacante remoto
 executar comandos normalmente não permitidos pelo groff quando
 invocado com a opção -S (Safer mode), que é o padrão neste caso.

SOLUÇÃO
 Todos os usuários devem fazer a atualização.
 
 
 REFERÊNCIAS
 1. http://www.securityfocus.com/cgi-bin/archive.pl?id=1&mid=137588
 2. http://www.securityfocus.com/bid/3103

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/4.0/i386/groff-1.17.2-1U40_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/groff-extras-1.17.2-1U40_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/groff-gxditview-1.17.2-1U40_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/groff-doc-1.17.2-1U40_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/groff-1.17.2-1U40_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/groff-1.17.2-1U40_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/groff-extras-1.17.2-1U40_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/groff-gxditview-1.17.2-1U40_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/groff-doc-1.17.2-1U40_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/groff-1.17.2-1U40_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/groff-1.17.2-1U41_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/groff-extras-1.17.2-1U41_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/groff-gxditview-1.17.2-1U41_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/groff-doc-1.17.2-1U41_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/groff-1.17.2-1U41_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/groff-1.17.2-1U42_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/groff-extras-1.17.2-1U42_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/groff-gxditview-1.17.2-1U42_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/groff-doc-1.17.2-1U42_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/groff-1.17.2-1U42_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/groff-1.17.2-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/groff-extras-1.17.2-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/groff-gxditview-1.17.2-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/groff-doc-1.17.2-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/groff-1.17.2-1U50_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/groff-1.17.2-1U51_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/groff-extras-1.17.2-1U51_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/groff-gxditview-1.17.2-1U51_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/groff-doc-1.17.2-1U51_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/groff-1.17.2-1U51_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/groff-1.17.2-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/groff-extras-1.17.2-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/groff-gxditview-1.17.2-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/groff-doc-1.17.2-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/groff-1.17.2-1U60_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/groff-1.17.2-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/groff-extras-1.17.2-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/groff-gxditview-1.17.2-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/groff-doc-1.17.2-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/groff-1.17.2-1U50_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/groff-1.17.2-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/groff-extras-1.17.2-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/groff-gxditview-1.17.2-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/groff-doc-1.17.2-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/groff-1.17.2-1U50_1cl.src.rpm

INSTRUÇÕES ADICIONAIS
 Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
 atualizações de pacotes RPM:
 - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
 acrescente-a:

 rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

  (substitua "versão" pela sua versão. Por exemplo, 7.0)

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE7uhv042jd0JmAcZARAm/jAKCOHJHdTMmCnLjjuopC5q33fAtDYwCgsH6j
0hV2NmU0LN0SRiQvEp1SBkw=
=LrLw
-----END PGP SIGNATURE-----

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]