NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2002-q4

secure_at_conectiva.com.br
Date: Thu Dec 19 2002 - 08:43:56 CST

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : openldap
RESUMO : Diversas vulnerabilidades
DATA : 2002-12-19 12:39:00
ANÚNCIO : CLA-2002:556
EDIÇÕES : 6.0, 7.0, 8

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
OpenLDAP[1] é um servidor LDAPv2 e LDAPv3 disponível para diversas
plataformas.

A equipe de segurança da distribuição alemã SuSE fez uma revisão em
partes críticas do código do projeto OpenLDAP2 e descobriu diversas
vulnerabilidaes tanto locais como remotas, todas corrigidas nessa
atualização.

As vulnerabilidades consistem primariamente em estouros de buffer
tanto no servidor OpenLDAP quanto nas bibliotecs providas com o
pacote. Algumas dessas vulnerabilidades podem ser exploradas por
atacantes remotos, que podem comprometer o servidor OpenLDAP ou
aplicações ligadas às bibliotecas vulneráveis.

Usuários do Conectiva Linux 6.0 devem atentar para o fato de que o
pacote openldap2 aqui atualizado (note a versão junto ao nome) foi
lançado como experimental nessa distribuição.

SOLUÇÃO
É recomendado que todos os usuários do OpenLDAP versão 2.0.x façam a
atualização. Se o serviço já estiver em execução, a própria
atualização se encarregará de reiniciá-lo.

REFERÊNCIAS
1.http://www.openldap.org
2.http://www.suse.de/de/security/2002_047_openldap2.html

INSTRUÇÕES ADICIONAIS
Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
atualizações de pacotes RPM:
- se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
acrescente-a:

rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

(substitua "versão" pela sua versão. Por exemplo, 7.0)

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE+Adsr42jd0JmAcZARAtrUAJsGJVL8zPFfoCuvih7g9jUxzk6x1gCgofN9
pzncMBBj30FyaTmcaWtPuQg=
=Lpyw
-----END PGP SIGNATURE-----

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]