OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
secure_at_conectiva.com.br
Date: Thu Jan 23 2003 - 10:06:05 CST

  • Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    - -------------------------------------------------------------------------
    ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
    - -------------------------------------------------------------------------

    PACOTE : cvs
    RESUMO : Reedição: vulnerabilidade remota no pacote cvs
    DATA : 2003-01-23 10:54:00
    ANÚNCIO : CLA-2003:561
    EDIÇÕES : 6.0, 7.0, 8

    - -------------------------------------------------------------------------

    DESCRIÇÃO DO PROBLEMA
     CVS é um sistema de controle de versão bastante utilizado em projetos
     que envolvam software ou documentos.
     
     Durante uma auditoria, Stefan Esser descobriu uma
     vulnerabilidade[2][3] de dupla desalocação de memória no código do
     programa CVS.
     
     Esta vulnerabilidade pode ser explorada por atacantes remotos,
     autenticados ou anônimos, para executar comandos arbitrários no
     servidor CVS.
     
     Note que usuários com poderes de escrita no CVS (o chamado privilégio
     "commit") normalmente já possuem um "shell" no servidor, ou podem
     obtê-lo de forma razoavelmente trivial[4].
     
     Além de corrigir esta vulnerabilidade, os pacotes aqui fornecidos
     desabilitam os comandos Checkin-prog e Update-prog.
     
     
     REEDIÇÃO
     Os pacotes disponibilizados no anúncio anterior (CLSA-2003:560) do
     CVS, embora corrijam a vulnerabilidade de segurança, apresentaram
     problemas de funcionamento[5] devido à forma como os comandos
     Checkin-prog e Update-prog foram desabilitados. Isto está corrigido
     nesta atualização.

    SOLUÇÃO
     É recomendado que todos os usuários do pacote CVS façam a
     atualização.
     
     
     REFERÊNCIAS
     1. http://www.cvshome.org/
     2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0015
     3. http://security.e-matters.de/advisories/012003.html
     4. http://online.securityfocus.com/archive/1/72584
     5. http://bugzilla.conectiva.com/show_bug.cgi?id=7507

    PACOTES RPM
    ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/cvs-1.10.8-5U60_4cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/cvs-1.10.8-5U60_4cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/cvs-doc-1.10.8-5U60_4cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/cvs-1.11-7U70_3cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/7.0/RPMS/cvs-1.11-7U70_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/7.0/RPMS/cvs-doc-1.11-7U70_3cl.i386.r
    ftp://atualizacoes.conectiva.com.br/8/SRPMS/cvs-1.11-9U80_3cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/8/RPMS/cvs-1.11-9U80_3cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/8/RPMS/cvs-doc-1.11-9U80_3cl.i386.rpm

    INSTRUÇÕES ADICIONAIS
     Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
     atualizações de pacotes RPM:
     - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
     acrescente-a:

     rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

      (substitua "versão" pela sua versão. Por exemplo, 7.0)

     - execute: apt-get update
     - seguido por: apt-get upgrade

     Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
     http://distro.conectiva.com.br/atualizacoes/#apt

    - -------------------------------------------------------------------------
    Todos os pacotes listados aqui também são assinados com a chave GPG da
    Conectiva. A chave, bem como instruções de como importá-la, pode ser
    encontrada em http://distro.conectiva.com.br/seguranca/chave/.
    Instruções para checar a assinatura dos pacotes podem ser encontradas em
    http://distro.conectiva.com.br/seguranca/politica/.

    - -------------------------------------------------------------------------
    Todos os anúncios de atualizações são armazenados e podem ser consultados
    na página http://distro.conectiva.com.br/atualizacoes/.
    Instruções genéricas para atualizações são fornecidas na mesma página.

    - -------------------------------------------------------------------------
    A Conectiva possui uma lista pública para discutir assuntos de segurança
    relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
    para obter mais informações.

    - -------------------------------------------------------------------------
    cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
    cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.0.6 (GNU/Linux)
    Comment: For info see http://www.gnupg.org

    iD8DBQE+MBLs42jd0JmAcZARAoGwAJ9LqvKb4HH69I6ZtMYxOAsagd1fxQCfaKoO
    kNrfh8CxLsgVFl6JKRiM0gc=
    =Ac62
    -----END PGP SIGNATURE-----