NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2002-q1

From: secureconectiva.com.br
Date: Thu Jan 31 2002 - 08:04:14 CST

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : pine
RESUMO : Vulnerabilidade no tratamento de URLs
DATA : 2002-01-31 12:01:00
ANÚNCIO : CLA-2002:460
EDIÇÕES : 5.0, prg graficos, ecommerce, 5.1, 7.0

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
Pine é um cliente texto para mail e notícias desenvolvido pela
Universidade de Washington[1].

Foi descoberta uma vulnerabilidade[2] no tratamento de URLs que pode
permitir que atacantes remotos executem comandos shell arbitrários na
máquina do usuário através do encapsulamento destes em variáveis de
ambiente.

Essa vulnerabilidade afeta apenas usuários que tenham a opção de
visualização de URLs habilitada (msg-view-url), o que não é o
padrão.

Descoberta originalmente por Jim Hebert <jhebertjhebert.cx> em 18 de
Novembro de 1999 e redescoberta por zen-parse <zen-parsegmx.net> em
20 de outubro de 2001, esta vulnerabilidade foi novamente anunciada
na lista BugTraq em 5 de janeiro de 2002.

SOLUÇÃO
É recomendado que todos os usuários do pine façam a atualização.

REFERÊNCIAS:
1.http://www.washington.edu/pine/
2.http://www.securityfocus.com/bid/3815
3.http://www.securityfocus.com/archive/1/35296

INSTRUÇÕES ADICIONAIS
Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
atualizações de pacotes RPM:
- se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
acrescente-a:

rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

(substitua "versão" pela sua versão. Por exemplo, 7.0)

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE8WU7d42jd0JmAcZARAooeAKCoX8f1Qqin6KumdiEe5+8Feq73PwCfbp16
OEthW1QUa/G+O+Ec6+ZiAgE=
=J+nC
-----END PGP SIGNATURE-----

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]