NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2002-q1

From: secureconectiva.com.br
Date: Thu Mar 14 2002 - 14:27:06 CST

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : zlib
RESUMO : vulnerabilidade na biblioteca zlib
DATA : 2002-03-14 17:04:00
ANÚNCIO : CLA-2002:469
EDIÇÕES : 5.0, prg graficos, ecommerce, 5.1, 6.0, 7.0

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
"zlib"[1] é uma biblioteca genérica de compactação e descompactação
de dados utilizada por centenas de programas.

Versões 1.1.3 e anteriores desta biblioteca possuem uma
vulnerabilidade[5] que pode ser explorada por um atacante remoto ou
local (dependendo do serviço sendo atingido) para derrubar um serviço
que utilize a zlib ou, nos casos mais graves, possivelmente executar
código arbitrário no servidor.

Ao receber um fluxo de dados especialmente criado, pode-se fazer com
que a biblioteca tente liberar o mesmo ponteiro de memória duas
vezes. O impacto mais imediato é uma falha de segmentação, ou seja,
o serviço ou programa que utiliza a zlib e recebe este fluxo de dados
provavelmente vai ser encerrado. Por outro lado, já foi
demonstrado[7] que uma vulnerabilidade semelhante pode ser utilizada
para executar código arbitrário, o que constituiria o pior caso para
este problema.

Originalmente reportado por Steven Sawkins aos autores para a versão
1.1.3 da biblioteca, o problema inicialmente não foi considerado como
sendo uma falha de segurança.

Mais recentemente[4] o problema foi reportado novamente por outra
pessoa, Matthias Clasen, e atingiu conotações de vulnerabilidade de
segurança após uma análise feita por Owen Taylor.

Esta atualização também corrige um outro problema[8] encontrado no
pacote rsync. Ethan Benson reportou que, no modo daemon, o programa
não removia os grupos adicionais do root ao trocar de uid/gid.

SOLUÇÃO
Várias centenas de programas utilizam a zlib atualmente, inclusive
programas comerciais não fornecidos junto com a distribuição. O
escopo deste anúncio de atualização apenas cobre os programas
disponibilizados no Conectiva Linux.

Há basicamente três cenários que precisam ser levados em conta além
da atualização da própria zlib:

a) programas que utilizam a zlib como biblioteca dinâmica, ou seja,
são "linkados" dinamicamente com a biblioteca. Neste caso, basta
atualizar o pacote da zlib e, IMPORTANTE, reiniciar os programas que
a estiverem usando deste modo. Uma forma de verificar isso é, após a
atualização, executar, como root (o pacote lsof precisa estar
instalado):

lsof | grep libz

A primeira coluna da saída deste comando conterá o nome do programa
que precisará ser reiniciado. Alguns exemplos de programas assim são
openssh, snort e mysql. Existem vários outros que podem ser
visualizados na saída do comando acima.

b) programas que utilizam a versão estática da biblioteca zlib, ou
seja, não precisam ter a zlib instalada para funcionar pois
incorporaram o código dela ao seu durante a compilação. Estes
programas precisam ser recompilados para que a vulnerabilidade seja
corrigida. Pacotes da distribuição que se encaixam neste caso foram
recompilados e estão disponibilizados através deste anúncio como
atualizações também. Um exemplo de um pacote nesta situação é o rpm.
Em outros casos, como o vnc, o programa foi modificado para que ele
passasse a usar a versão dinâmica da biblioteca de agora em diante.

c) programas que, por um ou outro motivo, incorporaram o código fonte
da zlib ao seu. Ao invés de utilizar a zlib disponibilizada pelo
sistema, seja de forma dinâmica ou estática, alguns autores optaram
por incluir o código fonte diretamente. Nestes casos, uma solução é
corrigir a versão da zlib embutida no programa e recompilá-lo. Alguns
exemplos deste caso são rsync, gcc e kernel. Outra possível solução é
alterar o programa de forma que ele passe a utilizar a zlib fornecida
pelo sistema desse ponto em diante, mas isto nem sempre é possível.
De qualquer forma, estes programas precisarão ser atualizados
individualmente.

Tendo em vista os cenários expostos acima, recomenda-se que a
atualização seja feita da seguinte maneira:

- usuários que utilizam o apt podem proceder da forma usual. Após a
atualização, verifique através do procedimento descrito em a) quais
processos precisam ser reiniciados. Além disso, qualquer outro pacote
atualizado que constitua um serviço deve ser restartado se ele
estiver rodando.

- usuários de versões da distribuição que não suportam a ferramenta
apt para fazer a atualização (CL < 6.0) devem verificar quais dos
pacotes listados neste anúncio estão instalados na máquina. Estes
pacotes devem ser instalados manualmente. Após a atualização, os
serviços dependentes da zlib precisarão ser reiniciados se já
estiverem rodando. Estes serviços podem ser identificados através do
procedimento descrito no item a). Além disso, qualquer outro pacote
atualizado que constitua um serviço deve ser restartado se ele
estiver rodando.

Esta atualização não contém dois pacotes que também são afetados por
esta vulnerabilidade: kernel e netscape. Uma nova atualização será
providenciada para estes pacotes em breve. No caso do netscape,
pacotes novos somente serão disponibilizados quando for liberada
outra versão pelo fabricante deste software, visto que o código fonte
não está disponível.

Se houver alguma dúvida sobre quais serviços precisarão ser
restartados, é recomendado que a máquina seja reiniciada.

REFERÊNCIAS
1. http://www.zlib.org
2. http://www.kb.cert.org/vuls/id/368819
3. http://www.cert.org/advisories/CA-2002-07.html
4. http://bugzilla.gnome.org/show_bug.cgi?id=70594
5. http://www.gzip.org/zlib/advisory-2002-03-11.txt
6. http://online.securityfocus.com/bid/4267
7. http://online.securityfocus.com/bid/1739
8. http://bugs.debian.org/132272

INSTRUÇÕES ADICIONAIS
Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
atualizações de pacotes RPM:
- se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
acrescente-a:

rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

(substitua "versão" pela sua versão. Por exemplo, 7.0)

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE8kQeZ42jd0JmAcZARAn+wAJ0QtM/dCHsbxzKO0jc0cgTWBFQPpQCgkhfy
7e3eeec/LEc5bfU7Iv29OzI=
=fl7p
-----END PGP SIGNATURE-----

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]