NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2003-q3

[atualizacoes-anuncio] [CLA-2003:737] Anúncio de Segurança Conectiva - gtkhtml

From: Conectiva Updates (secureconectiva.com.br)
Date: Fri Sep 12 2003 - 08:14:04 CDT

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : gtkhtml
RESUMO : Vulnerabilidade de estouro de buffer
DATA : 2003-09-12 10:13:00
ANÚNCIO : CLA-2003:737
EDIÇÕES : 7.0, 8, 9

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
A biblioteca gtkhtml é utilizada por diversos programas da suíte
Gnome para renderização básica de HTML. Entre estes está o Evolution,
um gerenciador de informações pessoais que inclui e-mail, agenda,
livro de endereços e ferramentas para trabalho em grupo.

Alan Cox descobriu duas vulnerabilidade[1,2] na biblioteca gtkhtml
que podem ser exploradas para, pelo menos, tirar programas como o
Evolution de execução, caracterizando um ataque de negação de
serviço. No caso do Evolution em particular, o ataque pode ser feito
através do envio de um e-mail contendo HTML especialmente
construído.

Esta atualização inclui correções para ambas as vulnerabilidades,
sendo que uma delas[2] afeta apenas o Conectiva Linux 9.

SOLUÇÃO
Todos os usuários devem fazer a atualização. É importante lembrar que
para que a nova versão da biblioteca seja utilizada, é necessário que
as aplicações que dela fazem uso sejam reiniciadas.

REFERÊNCIAS:
1.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0541
2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0133

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/gtkhtml-1.0.1-1U70_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/gtkhtml-devel-1.0.1-1U70_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/gtkhtml-devel-static-1.0.1-1U70_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/gtkhtml-1.0.1-1U70_2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/gtkhtml-1.0.1-4U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/gtkhtml-devel-1.0.1-4U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/gtkhtml-devel-static-1.0.1-4U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/libgtkhtml20-1.0.1-4U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/libgtkhtml-i18n-1.0.1-4U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/gtkhtml20-1.0.1-4U80_2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/gtkhtml-1.1.9-20744U90_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/gtkhtml-devel-1.1.9-20744U90_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/gtkhtml-devel-static-1.1.9-20744U90_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/libgtkhtml20-1.1.9-20744U90_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/libgtkhtml-i18n-1.1.9-20744U90_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/gtkhtml20-1.1.9-20744U90_2cl.src.rpm

INSTRUÇÕES ADICIONAIS
A ferramenta apt pode ser utilizada para fazer atualizações de
pacotes RPM:

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2003 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE/Ycab42jd0JmAcZARAq+sAJ9PqyakBVJxU2F9XXZscxACD2M6tgCgylpz
hdk6vxmZCuicT3X0IkpOYtk=
=EcTK
-----END PGP SIGNATURE-----

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]