OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
[atualizacoes-anuncio] [CLA-2003:758] Anúncio de Segurança Conectiva - vixie-cron

From: Conectiva Updates (secureconectiva.com.br)
Date: Fri Oct 03 2003 - 13:41:51 CDT

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : vixie-cron
RESUMO : Problema com cron.allow e cron.deny
DATA : 2003-10-03 15:41:00
ANÚNCIO : CLA-2003:758
EDIÇÕES : 7.0, 9

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 O pacote vixie-cron é utilizado para agendar a execução de
 programas.
 
 Esta atualização corrige um problema[1] introduzido em uma
 atualização de segurança anterior[2] do vixie-cron (CLSA-2003:628)
 que, além da correção para uma vulnerabilidade local, continha o
 seguinte:
 
 "[...] correção para um problema onde os "descritores de arquivo" dos
 arquivos /etc/cron.allow e /etc/cron.deny podem ser acessados (no
 modo somente leitura) pelo editor de textos do usuário ao utilizar a
 ferramenta crontab. Embora estes arquivos não sejam distribuídos com
 o Conectiva Linux, eles podem ser criados pelo administrador do
 sistema para configurar restrições de acesso ao serviço cron."
 
 A correção originalmente utilizada contém um erro que não permite o
 uso dos arquivos cron.allow e cron.deny, tirando o programa crontab
 de execução quando um destes arquivos tem mais de uma linha.
 
 Pacotes para o Conectiva Linux 9 também estão sendo atualizados pois
 os mesmos foram distribuídos com a mesma correção defeituosa. No caso
 do Conectiva Linux 8, a atualização que introduziu o problema não
 incluiu as correções como esperado (veja o anúncio CLSA-2003:0757[3])
 e portanto o problema não afeta essa versão da distribuição.

SOLUÇÃO
 Todos os usuários devem fazer a atualização.
 
 
 REFERÊNCIAS:
 1.http://distro.conectiva.com.br/bugzilla/show_bug.cgi?id=9461
 2.http://distro.conectiva.com.br/atualizacoes/index.php?id=a&anuncio=000628
 3.http://distro.conectiva.com.br/atualizacoes/index.php?id=a&anuncio=000757

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/vixie-cron-3.0.1-50U70_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/vixie-cron-3.0.1-50U70_2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/vixie-cron-3.0.1-27403U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/vixie-cron-3.0.1-27403U90_1cl.src.rpm

INSTRUÇÕES ADICIONAIS
 A ferramenta apt pode ser utilizada para fazer atualizações de
 pacotes RPM:

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2003 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE/fcLt42jd0JmAcZARAoXNAJ40igA3BEk3hsl8VIsZ8tz+4NfrugCeKZXr
QZjlAXk8M6GV8Dx5kcrnwMM=
=T3JR
-----END PGP SIGNATURE-----