-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : cyrus-imapd
RESUMO : Vulnerabilidade de execução remota de comandos
DATA : 2002-12-27 16:31:00
ANÚNCIO : CLA-2002:557
EDIÇÕES : 8

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 O servidor Cyrus IMAP utiliza o "Internet Message Access Protocol"
 (IMAP) para acesso a mensagens de correio eletrônico (e-mail).
 
 Time Sirainen descobriu[1] um estouro de buffer no servidor
 cyrus-imapd que pode ser explorado remotamente. O problema reside na
 maneira como a memória é alocada em determinadas situações, sendo
 possível causar um overflow em números inteiros e alocar menos bytes
 do que o necessário.
 
 Essa vulnerabilidade[2] pode ser explorada antes de ser efetuada a
 autenticação e permitir a um atacante remoto acessar mensagens de
 outros usuários e executar código arbitrário com os privilégios do
 usuário executando o servidor Cyrus IMAP (no Conectiva Linux existe
 um usuário não privilegiado chamado 'cyrus' responsável pela execução
 desse serviço).

SOLUÇÃO
 Todos os usuários do servidor Cyrus-IMAP devem fazer a atualização.
 
 IMPORTANTE: Após a atualização, é necessário reiniciar o servidor
 cyrus-imapd manualmente para que a atualização tenha efeito. Para
 isso pode-se executar o comando abaixo (como usuário root):
 
 # service cyrus restart
 
 
 REFERENCES:
 1.http://online.securityfocus.com/archive/1/301864
 2.http://www.kb.cert.org/vuls/id/740169

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/8/RPMS/cyrus-imapd-2.0.17-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/cyrus-imapd-devel-2.0.17-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/cyrus-imapd-devel-static-2.0.17-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/cyrus-imapd-2.0.17-1U80_1cl.src.rpm

INSTRUÇÕES ADICIONAIS
 Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
 atualizações de pacotes RPM:
 - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
 acrescente-a:

 rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

  (substitua "versão" pela sua versão. Por exemplo, 7.0)

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE+DJza42jd0JmAcZARAjAHAJ9fkpIBoadtQDtao18dZsm83x6jUQCfZBwQ
//ROz2qUkG75z80Zs2bdA7s=
=ti0A
-----END PGP SIGNATURE-----

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]