-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : dhcp
RESUMO : Vulnerabilidade Remota
DATA : 2003-01-23 16:54:00
ANÚNCIO : CLA-2003:562
EDIÇÕES : 8

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 O pacote "dhcp" provê um servidor (ISC DHCP) que implementa o
 protocolo DHCP[1] para configuração dinâmica de parâmetros de rede de
 máquinas em uma rede local.
 
 Durante uma auditoria interna, os desenvolvedores da ISC encontraram
 diversas vulnerabilidades de estouro de buffer nas rotinas de
 tratamento de erro da biblioteca "minires". Esta biblioteca é
 utilizada para prover a funcionalidade de atualização automática de
 registros em servidores DNS, e está presente apenas nas versões
 posteriores à 3.0 do ISC DHCP.
 
 Um atacante remoto que possa enviar mensagens diretamente ao servidor
 DHCP pode explorar essa vulnerabilidade para executar código
 arbitrário no contexto do servidor como usuário root.
 
 Os pacotes providos neste anúncio corrigem essas vulnerabilidades com
 a utilização de uma correção disponibilizada pela ISC. Note que
 versões anteriores à 8 do Conectiva Linux não contém o dhcp-3.0 e
 portanto não estão vulneráveis a esse problema.

SOLUÇÃO
 É recomendado que todos os usuários do pacote façam a atualização.
 Após a atualização, é necessário reiniciar o serviço dhcpd se ele
 estiver em execução. Isso pode ser feito através da execução do
 seguinte comando como usuário root:
 
 # service dhcpd restart
 
 
 REFERÊNCIAS:
 1.http://www.ietf.org/rfc/rfc2131.txt
 2.http://www.cert.org/advisories/CA-2003-01.html
 3.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0026
 4.http://www.isc.org/products/DHCP/

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/8/RPMS/dhcp-3.0-3U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/dhcp-doc-3.0-3U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/dhcp-3.0-3U80_2cl.src.rpm

INSTRUÇÕES ADICIONAIS
 Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
 atualizações de pacotes RPM:
 - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
 acrescente-a:

 rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

  (substitua "versão" pela sua versão. Por exemplo, 7.0)

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE+MDqf42jd0JmAcZARAmk5AJ997TX+wP4mqHX/hjh1sZMbjnqFEQCcDftp
cQO/cVreO5EhcJd0Jv80ldk=
=W//n
-----END PGP SIGNATURE-----

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]