OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
secure_at_conectiva.com.br
Date: Wed Feb 05 2003 - 11:40:07 CST

  • Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    - -------------------------------------------------------------------------
    ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
    - -------------------------------------------------------------------------

    PACOTE : mcrypt
    RESUMO : Estouro de buffer e vazamento de memória
    DATA : 2003-02-05 15:36:00
    ANÚNCIO : CLA-2003:567
    EDIÇÕES : 7.0, 8

    - -------------------------------------------------------------------------

    DESCRIÇÃO DO PROBLEMA
     O pacote mcrypt contém a biblioteca libmcrypt, que provê funções para
     criptografia com suporte a diversos algoritmos.
     
     Ilia Alshanetsky encontrou[1] diversas vulnerabilidades[2] de estouro
     de buffer na libmcrypt, basicamente por falta de verificação nos
     valores providos como parâmetros para determinadas funções. Em alguns
     cenários, tais valores podem ter como origem um usuário local ou uma
     conexão de rede, potencialmente permitindo que atacantes remotos
     explorem essas vulnerabilidades.
     
     Outra vulnerabilidade existe na maneira como a libmcrypt carrega
     dinamicamente seus plugins de algoritmos, não liberando uma pequena
     porção de memória a cada carga. Em ambientes onde uma aplicação fique
     persistentemente em execução, um atacante pode consumir toda a
     memória através da utilização de um grande número de requisições para
     esta aplicação, caracterizando um ataque de negação de serviço
     (DoS).
     
     Essas vulnerabilidades foram corrigidas na versão 2.5.5 da libmcrypt,
     sendo que as correções foram adaptadas e aplicadas às versões 2.4.9
     no Conectiva Linux 7.0 e 2.4.18 no Conectiva Linux 8. O Conectiva
     Linux 6.0 não contém o pacote mcrypt.

    SOLUÇÃO
     Todos os usuários do pacote mcrypt devem fazer a atualização.
     
     Note que para completar o processo de atualização, todos os
     aplicativos que fazem uso da libmcrypt devem ser reinicializados após
     a instalação dos novos pacotes. Uma lista de tais aplicativos pode
     ser conseguida utilizando-se o comando lsof, como abaixo:
     
     # lsof | grep libmcrypt
     
     
     REFERÊNCIAS:
     1.http://marc.theaimsgroup.com/?l=bugtraq&m=104162752401212&w=2
     2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0031
     3.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0032

    PACOTES RPM
    ftp://atualizacoes.conectiva.com.br/7.0/RPMS/mcrypt-2.4.9-3U70_1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/7.0/RPMS/mcrypt-devel-2.4.9-3U70_1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/7.0/RPMS/mcrypt-devel-static-2.4.9-3U70_1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/mcrypt-2.4.9-3U70_1cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/8/RPMS/mcrypt-2.4.18-3U80_1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/8/RPMS/mcrypt-devel-2.4.18-3U80_1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/8/RPMS/mcrypt-devel-static-2.4.18-3U80_1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/8/SRPMS/mcrypt-2.4.18-3U80_1cl.src.rpm

    INSTRUÇÕES ADICIONAIS
     Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
     atualizações de pacotes RPM:
     - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
     acrescente-a:

     rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

      (substitua "versão" pela sua versão. Por exemplo, 7.0)

     - execute: apt-get update
     - seguido por: apt-get upgrade

     Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
     http://distro.conectiva.com.br/atualizacoes/#apt

    - -------------------------------------------------------------------------
    Todos os pacotes listados aqui também são assinados com a chave GPG da
    Conectiva. A chave, bem como instruções de como importá-la, pode ser
    encontrada em http://distro.conectiva.com.br/seguranca/chave/.
    Instruções para checar a assinatura dos pacotes podem ser encontradas em
    http://distro.conectiva.com.br/seguranca/politica/.

    - -------------------------------------------------------------------------
    Todos os anúncios de atualizações são armazenados e podem ser consultados
    na página http://distro.conectiva.com.br/atualizacoes/.
    Instruções genéricas para atualizações são fornecidas na mesma página.

    - -------------------------------------------------------------------------
    A Conectiva possui uma lista pública para discutir assuntos de segurança
    relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
    para obter mais informações.

    - -------------------------------------------------------------------------
    cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
    cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.0.6 (GNU/Linux)
    Comment: For info see http://www.gnupg.org

    iD8DBQE+QUx142jd0JmAcZARAo1jAKDLR+VpLBMJt3M3aN/j6KKiuq4cuwCfVT+r
    Gg5HM4Hm2tTU9/XKQZIpwKY=
    =irEd
    -----END PGP SIGNATURE-----