OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
secure_at_conectiva.com.br
Date: Fri Oct 25 2002 - 17:39:20 CDT

  • Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    - -------------------------------------------------------------------------
    ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
    - -------------------------------------------------------------------------

    PACOTE : krb5
    RESUMO : Buffer overflow no serviço de administração do Kerberos 4
    DATA : 2002-10-25 20:38:00
    ANÚNCIO : CLA-2002:534
    EDIÇÕES : 8

    - -------------------------------------------------------------------------

    DESCRIÇÃO DO PROBLEMA
     Os pacotes "krb5" são a implementação do MIT[1] do protocolo de
     autenticação Kerberos 5.
     
     Existe uma vulnerabilidade[2][3] de buffer overflow no serviço de
     administração do kerberos versão 4 (kadmind4) que pode ser explorada
     remotamente para executar comandos arbitrários no servidor com os
     privilégios de administrador.
     
     O programa que implementa este serviço (kadmind4), embora seja
     distribuído no pacote krb5-server do Conectiva Linux 8, não é usado
     por padrão, sendo dada preferência ao kadmind, que implementa a
     versão 5 do protocolo de administração e não possui esta
     vulnerabilidade.
     
     Apenas usuários que explicitamente executarem o serviço kadmind4
     estarão vulneráveis a este problema. Mesmo assim, é recomendado que
     todos os usuários do Kerberos façam a atualização.
     
     Os autores disponibilizaram uma correção[2] que foi aplicada aos
     pacotes desta atualização.

    SOLUÇÃO
     Todos os usuários do pacote Kerberos devem fazer a atualização
     imediatamente.
     
     IMPORTANTE: se o serviço kadmind4 estiver sendo usado, ele precisará
     ser reiniciado manualmente após a atualização para efetivamente
     consertar o problema.
     
     
     REFERÊNCIAS
     1.http://web.mit.edu/Kerberos/www/index.html
     2.http://web.mit.edu/Kerberos/www/advisories/MITKRB5-SA-2002-002-kadm4.txt
     3.http://www.cert.org/advisories/CA-2002-29.html
     4.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1235

    PACOTES RPM
    ftp://atualizacoes.conectiva.com.br/8/SRPMS/krb5-1.2.3-3U8_3cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/8/RPMS/krb5-1.2.3-3U8_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/8/RPMS/krb5-apps-clients-1.2.3-3U8_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/8/RPMS/krb5-apps-servers-1.2.3-3U8_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/8/RPMS/krb5-client-1.2.3-3U8_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/8/RPMS/krb5-devel-1.2.3-3U8_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/8/RPMS/krb5-devel-static-1.2.3-3U8_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/8/RPMS/krb5-doc-1.2.3-3U8_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/8/RPMS/krb5-server-1.2.3-3U8_3cl.i386.rpm

    INSTRUÇÕES ADICIONAIS
     Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
     atualizações de pacotes RPM:
     - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
     acrescente-a:

     rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

      (substitua "versão" pela sua versão. Por exemplo, 7.0)

     - execute: apt-get update
     - seguido por: apt-get upgrade

     Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
     http://distro.conectiva.com.br/atualizacoes/#apt

    - -------------------------------------------------------------------------
    Todos os pacotes listados aqui também são assinados com a chave GPG da
    Conectiva. A chave, bem como instruções de como importá-la, pode ser
    encontrada em http://distro.conectiva.com.br/seguranca/chave/.
    Instruções para checar a assinatura dos pacotes podem ser encontradas em
    http://distro.conectiva.com.br/seguranca/politica/.

    - -------------------------------------------------------------------------
    Todos os anúncios de atualizações são armazenados e podem ser consultados
    na página http://distro.conectiva.com.br/atualizacoes/.
    Instruções genéricas para atualizações são fornecidas na mesma página.

    - -------------------------------------------------------------------------
    A Conectiva possui uma lista pública para discutir assuntos de segurança
    relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
    para obter mais informações.

    - -------------------------------------------------------------------------
    cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
    cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.0.6 (GNU/Linux)
    Comment: For info see http://www.gnupg.org

    iD8DBQE9ucgX42jd0JmAcZARAoObAJ460bCBg0E38l+2uulGhk6Rds5NMACeNM5d
    9FTiAImYgSGBe5YCAbyNvz4=
    =B4+z
    -----END PGP SIGNATURE-----