-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : squid
RESUMO : Várias vulnerabilidades no squid
DATA : 2002-02-27 12:27:00
ANÚNCIO : CLA-2002:464
EDIÇÕES : 5.0, prg graficos, ecommerce, 5.1, 6.0, 7.0

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 Squid é um servidor proxy com cache de alta performance para clientes
 web suportando FTP, gopher e HTTP.
 
 Três vulnerabilidades[1] foram recentemente encontradas no squid nas
 versões anteriores à 2.4.STABLE4. Conforme a página de
 atualizações[2] do Squid 2.4:
 
 - Coredump com certas URLs de ftp[3]
 É possível derrubar o servidor squid através do envio de certas URLs
 do tipo ftp:// ou possivelmente provocar a execução de código
 arbitrário (este último não confirmado).
 
 - Vazamentos de memória na implementação SNMP[4]
 Vários vazamentos de memória podiam dar a possiblidade da geração de
 um ataque de negação de serviço (DoS).
 
 - Falha na desabilitação da porta HTCP[5]
 O parâmetro "htcp_port 0" do arquivo de configuração do squid devia
 desabilitar totalmente a porta (como documentado), mas ao invés disso
 uma porta aleatória era aberta.
 
 Adicionalmente, os seguintes patches (encontrados no site acima)
 foram aplicados:
 
 - Potencial Coredump no snmpwalk[6]
 Correção para um coredump ao usar o utilitário snmpwalk em conjunto
 com certas configurações do squid.
 
 - CONNECT/ssl core dump[7]
 O squid era abortado quando requisições de conexão que eram
 habilitadas pelo parâmetro "http_access" mas negadas por
 "miss_access" eram efetuadas.
 
 - Vazamento de descritores de arquivo no módulo aufs[8]
 A implementação do cache "aufs" não liberava determinados descritores
 de arquivo.

SOLUÇÃO
 A recomendação é que todos os usuários do squid façam a atualização.
 Esta atualização vai automaticamente restartar o serviço se o mesmo
 já estiver em execução.
 
 
 REFERÊNCIAS:
 1.http://www.squid-cache.org/Advisories/SQUID-2002_1.txt
 2.http://www.squid-cache.org/Versions/v2/2.4/bugs
 3.http://www.squid-cache.org/Versions/v2/2.4/bugs/#squid-2.4.STABLE3-ftp_coredump
 4.http://www.squid-cache.org/Versions/v2/2.4/bugs/#squid-2.4.STABLE3-SNMP_memory_leaks
 5.http://www.squid-cache.org/Versions/v2/2.4/bugs/#squid-2.4.STABLE3-htcp_off
 6.http://www.squid-cache.org/Versions/v2/2.4/bugs/#squid-2.4.STABLE2-snmpwalk_coredump
 7.http://www.squid-cache.org/Versions/v2/2.4/bugs/#squid-2.4.STABLE2-CONNECT_miss_access_core
 8.http://www.squid-cache.org/Versions/v2/2.4/bugs/#squid-2.4.STABLE2-aufs_fd_leak

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/squid-2.3.5-1U50_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/squid-2.3.5-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/squid-2.3.5-1U51_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/squid-2.3.5-1U51_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/squid-2.3.5-1U60_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/squid-2.3.5-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/squid-2.4.1-4U70_2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/squid-templates-2.4.1-4U70_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/squid-doc-2.4.1-4U70_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/squid-auth-2.4.1-4U70_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/squid-2.4.1-4U70_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/squid-2.3.5-1U50_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/squid-2.3.5-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/squid-2.3.5-1U50_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/squid-2.3.5-1U50_1cl.i386.rpm

INSTRUÇÕES ADICIONAIS
 Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
 atualizações de pacotes RPM:
 - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
 acrescente-a:

 rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

  (substitua "versão" pela sua versão. Por exemplo, 7.0)

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE8fUo842jd0JmAcZARAgHJAKCX0G95PPfsbmtWJFWmPzM6MpGV1wCfcr0p
mAxhBMddGscTkF5S07fClsQ=
=NrLQ
-----END PGP SIGNATURE-----

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]