OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
[atualizacoes-anuncio] [CLA-2003:748] Anúncio de Segurança Conectiva - wu-ftpd

From: Conectiva Updates (secureconectiva.com.br)
Date: Mon Sep 22 2003 - 14:23:34 CDT

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : wu-ftpd
RESUMO : Vulnerabilidade de execução remota de comandos
DATA : 2003-09-22 16:22:00
ANÚNCIO : CLA-2003:748
EDIÇÕES : 7.0, 8, 9
õÿp>- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 "wu-ftpd" é um dos servidores de ftp disponibilizados no Conectiva
 Linux e outras distribuições GNU/Linux.
 
 Esta atualização corrige uma vulnerabilidade[1,2] na maneira como o
 wu-ftpd lida com a funcionalidade de conversão de arquivos (utilizada
 principalmente para compactação através de ferramentas como tar e
 gzip). O cenário de exploração dessa vulnerabilidade varia bastante
 conforme a configuração utilizada no servidor, mas no pior caso, um
 atacante remoto com acesso ao servidor ftp (login anônimo ou conta
 válida) pode executar comandos arbitrários utilizando-se de arquivos
 com nomes especialmente construídos.
 
 Adicionalmente, o pacote "anonftp" do Conectiva Linux 9 está sendo
 atualizado para corrigir um problema[3] que não permite a execução de
 alguns comandos por usuários anônimos.

SOLUÇÃO
 Todos os usuários do wu-ftpd devem fazer a atualização.
 
 Não é necessário reiniciar qualquer serviço após a atualização, visto
 que wu-ftpd é iniciado através do inetd. Mas o administrador deve
 considerar derrubar todas as conexões ftp em andamento, pois elas
 ainda estarão usando a cópia vulnerável e os usuários correntes ainda
 poderiam executar um ataque.
 
 
 REFERÊNCIAS:
 1.http://www.securityfocus.com/bid/2240
 2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0997
 3.http://bugzilla.conectiva.com.br/show_bug.cgi?id=8992

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/wu-ftpd-2.6.1-6U70_4cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/wu-ftpd-2.6.1-6U70_4cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/wu-ftpd-2.6.1-8U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/wu-ftpd-2.6.1-8U80_2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/wu-ftpd-2.6.2-13985U90_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/anonftp-3.0-22686U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/wu-ftpd-2.6.2-13985U90_2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/anonftp-3.0-22686U90_1cl.src.rpm

INSTRUÇÕES ADICIONAIS
 A ferramenta apt pode ser utilizada para fazer atualizações de
 pacotes RPM:

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2003 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE/b0w042jd0JmAcZARAmtjAKCoH0OYsYsOUBA3Ry5q/WHHJjsMFgCgx+Mn
RZ3/MSe8EAtOE3nv1CDr2nw=
=Pyig
-----END PGP SIGNATURE-----