NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2002-q4

secure_at_conectiva.com.br
Date: Mon Dec 16 2002 - 14:39:34 CST

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : fetchmail
RESUMO : Vulnerabilidade remota
DATA : 2002-12-16 18:38:00
ANÚNCIO : CLA-2002:554
EDIÇÕES : 6.0, 7.0, 8

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
Fetchmail é um programa muito usado para recuperar mensagens de
correio eletrônico de servidores POP e IMAP.

Stefan Esser descobriu[1] uma vulnerabilidade de estouro de buffer em
versões do fetchmail anteriores à 6.1.3 (inclusive). Essa
vulnerabilidade pode ser explorada remotamente através do uso de
mensagens de correio eletrônio especialmente construídas.

Um atacante pode explorar essa vulnerabilidade para executar código
arbitrário com os privilégios do usuário que estiver executando o
fetchmail.

Os pacotes disponibilizados com esse anúncio incorporam uma correção
para o problema.

SOLUÇÃO
Todos os usuários do fetchmail devem fazer a atualização.

IMPORTANTE: se o fetchmail estiver sendo executado no modo "daemon",
este deverá ser reiniciado para que a nova versão passe a ser
utilizada.

REFERENCIAS:
1.http://security.e-matters.de/advisories/052002.html

INSTRUÇÕES ADICIONAIS
Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
atualizações de pacotes RPM:
- se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
acrescente-a:

rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

(substitua "versão" pela sua versão. Por exemplo, 7.0)

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9/joF42jd0JmAcZARAvcPAJ47KweDUaUJb8Ah4LJtdr8eOuDd7wCfcrN/
vkXAeljM8XfA2Xa76r3h6a0=
=H+Da
-----END PGP SIGNATURE-----

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]