|
Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com |
From: secure
conectiva.com.brDate: Wed May 29 2002 - 15:04:58 CDT
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------
PACOTE : mozilla
RESUMO : Vulnerabilidades no Mozilla
DATA : 2002-05-29 17:03:00
ANÚNCIO : CLA-2002:490
EDIÇÕES : 6.0, 7.0, 8
- -------------------------------------------------------------------------
DESCRIÇÃO DO PROBLEMA
Mozilla é um navegador WEB criado por uma comunidade aberta a partir
do código fonte liberado pela Netscape.
A GreyMagic Security (uma empresa israelense de segurança)
encontrou[1] uma vulnerabilidade[2] no mozilla em versões anteriores
à 1.0rc1 (inclusive) que permite a um site mal intencionado listar e
ler arquivos do usuário. A vulnerabilidade é relacionada ao
componente XMLHTTP, cujo objetivo primário é o de carregar documentos
XML a partir de um servidor WEB.
Essa atualização também corrige outras vulnerabilidades:
- Buffer overflow no programa de IRC (Chatzilla)[3]
- Detecção de arquivos locais[4]
- DoS no Interpretador JavaScript[5]
- Acesso indevido a cookies[6]*
* Não afeta o Conectiva Linux 8.
Os pacotes inclusos nesta atualização são do Mozilla 1.0rc2, que
corrige todos os problemas listados acima.
Essas vulnerabilidades também afetam o navegador Galeon, que
utiliza-se do renderizador do Mozilla. Não haverá atualização de
pacotes do Galeon para as distribuições do Conectiva Linux 6.0 e 7.0,
pois este estava em um estágio de desenvolvimento bastante inicial e
não funcionará com os pacotes do novo Mozilla. Uma nova versão do
Galeon para essas distribuições necessitaria de muitos outros pacotes
atualizados e portanto não será fornecida.
SOLUÇÃO
Todos os usuários dos navegadores Mozilla e Galeon devem fazer a
atualização. Usuários do Galeon no Conectiva Linux 6.0 e 7.0 devem
considerar a atualização da distribuição ou escolher um outro
navegador.
REFERÊNCIAS:
1.http://sec.greymagic.com/adv/gm001-ns/
2.http://bugzilla.mozilla.org/show_bug.cgi?id=141061
3.http://online.securityfocus.com/archive/1/270249
4.http://online.securityfocus.com/archive/1/270249
5.http://online.securityfocus.com/archive/1/262994
6.http://online.securityfocus.com/archive/1/251788
PACOTES RPM
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/mozilla-1.0rc2-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/mozilla-devel-1.0rc2-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/mozilla-1.0rc2-1U60_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/mozilla-1.0rc2-1U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/mozilla-devel-1.0rc2-1U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/mozilla-devel-static-1.0rc2-1U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/mozilla-irc-1.0rc2-1U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/mozilla-mail-1.0rc2-1U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/mozilla-psm-1.0rc2-1U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/mozilla-1.0rc2-1U70_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/mozilla-1.0rc2-1U8_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/mozilla-devel-1.0rc2-1U8_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/mozilla-devel-static-1.0rc2-1U8_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/mozilla-irc-1.0rc2-1U8_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/mozilla-mail-1.0rc2-1U8_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/mozilla-psm-1.0rc2-1U8_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/galeon-1.2.1-1U8_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/galeon-devel-1.2.1-1U8_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/mozilla-1.0rc2-1U8_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/galeon-1.2.1-1U8_1cl.src.rpm
INSTRUÇÕES ADICIONAIS
Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
atualizações de pacotes RPM:
- se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
acrescente-a:
rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates
(substitua "versão" pela sua versão. Por exemplo, 7.0)
- execute: apt-get update
- seguido por: apt-get upgrade
Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt
- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.
- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.
- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.
- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE89TRp42jd0JmAcZARAu5wAKCn5eKpKO5f3uvisBuLlFunkhyzXgCcDtAo
kdqokYhXOmAsyRI8eGYXMr8=
=T4e2
-----END PGP SIGNATURE-----
- Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]