NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2002-q3

secure_at_conectiva.com.br
Date: Wed Jul 17 2002 - 13:23:20 CDT

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : libpng
RESUMO : Estouro de buffer
DATA : 2002-07-17 14:50:00
ANÚNCIO : CLA-2002:512
EDIÇÕES : 6.0, 7.0, 8

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
A libpng é uma biblioteca utilizada para criar e manipular arquivos
gráficos no formato PNG.

As versões 1.2.4* e 1.0.14 da biblioteca corrigem uma potencial
vulnerabilidade[1] de estouro de buffer em algumas funções
relacionadas ao carregamento progressivo de imagens. Programas como o
mozilla e vários outros fazem uso de tais funções. Um atacante
poderia explorar essa vulnerabilidade para executar código arbitrário
remotamente ou derrubar a aplicação através do uso de imagens png
especialmente construidas.

Essa nova versão também resolve alguns problemas de menor
importância, como alguns vazamentos de memória em funções de leitura
de imagens.

* A versão 1.2.4 está disponível apenas no Conectiva Linux 8, no
pacote chamado libpng3.

SOLUÇÃO
Todos os usuários devem fazer a atualização.

Note que para completar o processo de atualização, todos os
aplicativos que fazem uso da libpng devem ser reinicializados após a
instalação dos novos pacotes. Uma lista de tais aplicativos pode ser
conseguida utilizando-se o comando lsof, como abaixo:

# lsof | grep libpng

REFERÊNCIAS:
1.ftp://swrinde.nde.swri.edu/pub/png-group/archives/png-list.200207

INSTRUÇÕES ADICIONAIS
Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
atualizações de pacotes RPM:
- se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
acrescente-a:

rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

(substitua "versão" pela sua versão. Por exemplo, 7.0)

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD4DBQE9NbYW42jd0JmAcZARArnAAJoDc6Rtg6WXvRa244zP37QhPcD+lgCY9uVi
FRhfHpeuqrRfkpWcH9OQqQ==
=c2W5
-----END PGP SIGNATURE-----

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]