NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2003-q4

[atualizacoes-anuncio] [CLA-2003:780] Anúncio de Segurança Conectiva - ethereal

From: Conectiva Updates (secureconectiva.com.br)
Date: Fri Nov 07 2003 - 13:28:40 CST

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : ethereal
RESUMO : Correção para vulnerabilidades do ethereal
DATA : 2003-11-07 16:08:00
ANÚNCIO : CLA-2003:780
EDIÇÕES : 7.0, 8, 9

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
Ethereal[1] é um poderoso analisador de tráfego de rede com uma
prática interface gráfica.

Esta atualização corrige diversas vulnerabilidades[2] em versões
anteriores à 0.9.16 do ethereal. Essas vulnerabilidades podem ser
exploradas por um atacante que consiga inserir na rede monitorada
pelo ethereal pacotes especialmente construídos ou levar um usuário a
abrir um arquivo contendo tais pacotes. A exploração dessas
vulnerabilidades pode levar a situações de negação de serviço e/ou
execução remota de código arbitrário.

As vulnerabilidades corrigidas nesta atualização são:

- buffer overflow no analisador do protocolo GTP (CAN-2003-0925)[3]
- negação de serviço com pacotes ISAKMP ou MEGACO (CAN-2003-0926)[4]
- buffer overflow no analisador do protocolo SOCKS
(CAN-2003-0927)[5]

SOLUÇÃO
É recomendado que todos os usuários do ethereal façam a atualização.

REFERÊNCIAS
1. http://www.ethereal.com/
2. http://www.ethereal.com/appnotes/enpa-sa-00011.html
3. http://cve.mitre.org/cgi-bin/cvename.cgi?name=can-2003-0925
4. http://cve.mitre.org/cgi-bin/cvename.cgi?name=can-2003-0926
5. http://cve.mitre.org/cgi-bin/cvename.cgi?name=can-2003-0927

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/ethereal-0.9.16-1U70_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/ethereal-0.9.16-1U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/ethereal-0.9.16-1U80_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/ethereal-0.9.16-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/ethereal-common-0.9.16-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/ethereal-gtk-0.9.16-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/ethereal-utils-0.9.16-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/tethereal-0.9.16-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/ethereal-0.9.16-27097U90_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/ethereal-0.9.16-27097U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/ethereal-common-0.9.16-27097U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/ethereal-gtk-0.9.16-27097U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/ethereal-utils-0.9.16-27097U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/tethereal-0.9.16-27097U90_1cl.i386.rpm

INSTRUÇÕES ADICIONAIS
A ferramenta apt pode ser utilizada para fazer atualizações de
pacotes RPM:

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2003 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE/q/Jn42jd0JmAcZARAp9HAKCnnPSz4q/Dy6Ndp37jMIAzQe/g1ACfeEYn
KN4LMb/w+mlgRoAn37UwCqY=
=79kj
-----END PGP SIGNATURE-----

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]