OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
[atualizacoes-anuncio] [CLA-2003:635] Anúncio de Segurança Conectiva - balsa

From: Conectiva Updates (secureconectiva.com.br)
Date: Wed Apr 30 2003 - 16:45:12 CDT

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : balsa
RESUMO : Vulnerabilidade no leitor IMAP
DATA : 2003-04-30 18:44:00
ANÚNCIO : CLA-2003:635
EDIÇÕES : 9

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 Balsa é um leitor de e-mail do GNOME. O projeto inclui código do
 mutt, um leitor de e-mail em modo texto.
 
 Em 14 de março de 2003 foi lançada uma correção[1] para uma
 vulnerabilidade[2] de estouro de buffer no código que gerencia caixas
 de correio IMAP do mutt.
 
 A versão do mutt distribuída com o Conectiva Linux 9
 (mutt-1.5.4-28732cl) não está vulnerável a este problema, mas versões
 do balsa <= 1.2 incluem o mesmo código do mutt antigo e portanto
 também estão vulneráveis (O Conectiva Linux 9 inclui o pacote
 balsa-2.0.9-29085cl).
 
 Um atacante remoto que tenha controle do servidor IMAP acessado pelo
 balsa pode explorar essa vulnerabilidade para executar código
 arbitrário no contexto do cliente. Esta atualização corrige o
 problema.

SOLUÇÃO
 Todos os usuários do pacote balsa devem fazer a atualização.
 
 Note que, após a atualização, é necessário reiniciar o programa balsa
 (caso ele esteja em execução) para que a nova versão seja executada.
 
 
 REFERÊNCIAS:
 1.http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000626
 2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0140
 3.http://distro2.conectiva.com.br/bugzilla/show_bug.cgi?id=8282

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/9/RPMS/balsa-2.0.9-29086U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/balsa-help-2.0.9-29086U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/balsa-2.0.9-29086U90_1cl.src.rpm

INSTRUÇÕES ADICIONAIS
 A ferramenta apt pode ser utilizada para fazer atualizações de
 pacotes RPM:

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2003 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE+sEPm42jd0JmAcZARAre6AJ9+kP2T1TGZ6drUO136RMe24TUaWACeNcxC
V8yQx3QOU3Ixocz16eCpjdY=
=Xr9k
-----END PGP SIGNATURE-----