NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2002-q1

From: secureconectiva.com.br
Date: Thu Mar 28 2002 - 12:03:17 CST

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : imlib
RESUMO : Vulnerabilidades no pacote imlib
DATA : 2002-03-28 15:01:00
ANÚNCIO : CLA-2002:470
EDIÇÕES : 5.0, prg graficos, ecommerce, 5.1, 6.0, 7.0

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
Imlib é uma biblioteca gráfica que permite o acesso a imagens em
vários formatos.

Alan Cox descobriu várias situações onde a pilha de memória poderia
ser corrompida quando do processamento de imagens mal formadas.
Al Viro descobriu que a imlib estava chamando a biblioteca NetPBM
para tratar determinados tipos de imagens, mas esta não é uma
biblioteca para o tratamento de dados não confiáveis.

Um atacante poderia usar uma imagem especialmente construída para
explorar um programa ligado à biblioteca imlib (como um leitor de
mail ou um visualizador de imagens) e provocar uma situação de
negação de serviço (DoS) ou até mesmo execução de código arbitrário.

SOLUÇÃO
Todos os usuários da imlib devem fazer a atualização. Note que as
vulnerabilidades podem ser explorardas através de programas ligados à
imlib (como o visualizador de imagens "Electronic Eyes"), portanto
estes devem ser reinicializados após a instalação do upgrade para que
façam uso da nova versão instalada da biblioteca.

REFERÊNCIAS:
1.http://online.securityfocus.com/bid/4336
2.http://online.securityfocus.com/bid/4339

INSTRUÇÕES ADICIONAIS
Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
atualizações de pacotes RPM:
- se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
acrescente-a:

rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

(substitua "versão" pela sua versão. Por exemplo, 7.0)

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE8o1rk42jd0JmAcZARAhnjAJ4kj/QmEjaAwlRyZrIlkeSN8MqJdQCgyQR9
A/Q3bAmHtXavWAhrpP3CbuM=
=xR7D
-----END PGP SIGNATURE-----

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]