-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : wget
RESUMO : Vulnerabilidade no download de arquivos
DATA : 2002-12-13 18:23:00
ANÚNCIO : CLA-2002:552
EDIÇÕES : 6.0, 7.0, 8

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 GNU wget é um utilitário de rede para recuperar arquivos utilizando
 os protocolos HTTP e FTP.
 
 Steven M. Christey reportou[1] uma vulnerabilidade[2] que afeta
 diversos clientes ftp, incluindo o wget até sua versão 1.8.2
 (inclusive).
 
 A vulnerabilidade reside na maneira como o wget interpreta nomes de
 arquivos em respostas a comandos LIST e GETs múltiplos. Um servidor
 mal intencionado pode explorar essa vulnerabilidade enviando nomes de
 arquivos iniciados por caracteres que indiquem caminhos de diretórios
 anteriores ao corrente, como "../" ou "/", levando o wget a
 sobrescrever arquivos arbitrários nesses diretórios.
 
 A versão 1.8.2 distribuída juntamente com este anúncio corrige esta
 vulnerabilidade e outros problemas de menor importância, além de
 incorporar algums novas funcionalidades[3]

SOLUÇÃO
 Todos os usuários do wget devem fazer a atualização.
 
 
 REFERÊNCIAS:
 1.http://www.kb.cert.org/vuls/id/210409
 2.http://marc.theaimsgroup.com/?l=bugtraq&m=87602746719482
 3.http://cvs.sunsite.dk/viewcvs.cgi/wget/NEWS?rev=WGET_1_8&content-type=text/plain
 4.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1344

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/wget-1.8.2-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/wget-1.8.2-1U60_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/wget-1.8.2-1U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/wget-1.8.2-1U70_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/wget-1.8.2-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/wget-1.8.2-1U80_1cl.src.rpm

INSTRUÇÕES ADICIONAIS
 Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
 atualizações de pacotes RPM:
 - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
 acrescente-a:

 rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

  (substitua "versão" pela sua versão. Por exemplo, 7.0)

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9+kG/42jd0JmAcZARAlCVAJ9TJ0eGodzut9btpq2uR3yS+4ZgIgCfQKvy
gVqtoyM6wtHcIpZy6ThZTU0=
=pUZa
-----END PGP SIGNATURE-----

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]