NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2002-q4

secure_at_conectiva.com.br
Date: Thu Oct 31 2002 - 10:45:53 CST

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : gv/kghostview
RESUMO : Estouro de buffer
DATA : 2002-10-31 14:45:00
ANÚNCIO : CLA-2002:542
EDIÇÕES : 6.0, 7.0, 8

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
gv é um programa que utiliza-se do interpretador "Ghostscript" para
carregar documentos PDF e PostScript. kghostview é uma aplicação do
KDE que tem a mesma finalidade.

Zen Parse encontrou[1] uma vulnerabilidade de estouro de buffer no gv
(até a versão 3.5.8). kghostview (de versões anteriores à 3.0.4 do
pacote kdegraphics) também é afetado pela mesma vulnerabilidade, uma
vez que faz uso de código derivado do mesmo projeto. Um atacante pode
explorar essa vulnerabilidade através do uso de um arquivo PDF
especialmente construído que, quando aberto pelo gv ou kghostview,
provoca a execução de código arbitrário.

SOLUÇÃO
Todos os usuários do gv e do kdegraphics devem fazer a atualização.

REFERÊNCIAS:
1.http://www.idefense.com/advisory/09.26.02.txt
2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0838

INSTRUÇÕES ADICIONAIS
Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
atualizações de pacotes RPM:
- se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
acrescente-a:

rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

(substitua "versão" pela sua versão. Por exemplo, 7.0)

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9wV5A42jd0JmAcZARAvxSAJ9TrX8EQJqps7SAq6QkGgkEjtNnBgCfaAB0
dX/Nn5QZqyVpCoRkvfy1y+o=
=0hrD
-----END PGP SIGNATURE-----

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]