NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2003-q1

secure_at_conectiva.com.br
Date: Tue Jan 21 2003 - 13:40:45 CST

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : cvs
RESUMO : Vulnerabilidade remota
DATA : 2003-01-21 15:46:00
ANÚNCIO : CLA-2003:560
EDIÇÕES : 6.0, 7.0, 8

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
CVS é um sistema de controle de versão bastante utilizado em projetos
que envolvam software ou documentos.

Durante uma auditoria, Stefan Esser descobriu uma
vulnerabilidade[2][3] de dupla desalocação de memória no código do
programa CVS.

Esta vulnerabilidade pode ser explorada por atacantes remotos,
autenticados ou anônimos, para executar comandos arbitrários no
servidor CVS.

Note que usuários com poderes de escrita no CVS (o chamado privilégio
"commit") normalmente já possuem um "shell" no servidor, ou podem
obtê-lo de forma razoavelmente trivial[4].

Além de corrigir esta vulnerabilidade, os pacotes aqui fornecidos
desabilitam os comandos Checkin-prog e Update-prog.

SOLUÇÃO
É recomendado que todos os administradores de servidores CVS façam a
atualização imediatamente.

REFERÊNCIAS
1. http://www.cvshome.org/
2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0015
3. http://security.e-matters.de/advisories/012003.html
4. http://online.securityfocus.com/archive/1/72584

INSTRUÇÕES ADICIONAIS
Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
atualizações de pacotes RPM:
- se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
acrescente-a:

rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

(substitua "versão" pela sua versão. Por exemplo, 7.0)

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE+LaI842jd0JmAcZARAi6FAKCYw7X+7hODYyyy+ipMoN3KWgrftACfed2B
lEyH4W+yk+7wg0hYbvxrKlk=
=XmCU
-----END PGP SIGNATURE-----

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]