-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : tetex
RESUMO : Vulnerabilidade no dvips
DATA : 2002-10-29 19:49:00
ANÚNCIO : CLA-2002:537
EDIÇÕES : 6.0, 7.0, 8

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 tetex é um pacote que contém o sistema TeX para formatação de textos.
 Entre outras funcionalidades, este é utilizado para a geração de
 documentos utilizando LaTeX e contêm uma série de utilitários para a
 conversão de documentos em formato DVI, PS, PDF e outros.
 
 Olaf Kirch da SuSE descobriu uma vulnerabilidade no utilitário dvips,
 que é utilizado para converter arquivos .dvi para o formato
 PostScript. Este estava chamando a função system() de uma maneira
 insegura quando tratando nomes de fontes. Um atacante pode explorar
 essa vulnerabilidade criando um arquivo dvi especial que, quando
 aberto pelo dvips, provocará a execução de comandos arbitrários.
 
 Como o dvips é utilizado como filtro padrão pelo sistema de impressão
 (LPRng) do Conectiva Linux 6.0 e 7.0, um atacante que tenha permissão
 para enviar trabalhos para impressão pode executar comandos
 arbitrários com os privilégios do usuário "lp" (o usuário do sistema
 responsável pelo sistema de impressão) através do envio de um arquivo
 dvi para impressão.
 
 Foram adicionadas ainda algumas correções preventivas relacionadas à
 utilização de arquivos temporários nas versões do tetex do Conectiva
 Linux 6.0 e 7.0. O pacote distribuído com o Conectiva Linux 8 já
 contém tais correções.

SOLUÇÃO
 Todos os usuários do pacote tetex devem fazer a atualização. O
 utilitário dvips está contido no pacote "tetex-dvips".
 
 
 REFERÊNCIAS:
 1.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0836

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/tetex-1.0.7-8U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/tetex-afm-1.0.7-8U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/tetex-dvilj-1.0.7-8U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/tetex-dvips-1.0.7-8U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/tetex-latex-1.0.7-8U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/tetex-xdvi-1.0.7-8U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/tetex-1.0.7-8U60_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/tetex-1.0.7-11U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/tetex-afm-1.0.7-11U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/tetex-devel-1.0.7-11U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/tetex-dvilj-1.0.7-11U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/tetex-dvips-1.0.7-11U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/tetex-latex-1.0.7-11U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/tetex-xdvi-1.0.7-11U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/tetex-1.0.7-11U70_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/tetex-1.0.7-13U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/tetex-afm-1.0.7-13U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/tetex-devel-1.0.7-13U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/tetex-dvilj-1.0.7-13U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/tetex-dvips-1.0.7-13U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/tetex-latex-1.0.7-13U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/tetex-xdvi-1.0.7-13U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/tetex-1.0.7-13U80_1cl.src.rpm

INSTRUÇÕES ADICIONAIS
 Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
 atualizações de pacotes RPM:
 - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
 acrescente-a:

 rpm [cncbr] ftp://atualizacoes.conectiva.com.bõÿ/a> versão/conectiva updates

  (substitua "versão" pela sua versão. Por exemplo, 7.0)

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9vwLF42jd0JmAcZARAg7zAKCY+6TDDYpntuBTcpFj3MEEtfLsgACghU9B
gHaXztT976atAqYoOqF8B0c=
=XKs/
-----END PGP SIGNATURE-----

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]