From: Conectiva Updates (secureconectiva.com.br)
Date: Wed Nov 12 2003 - 13:26:19 CST

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : xinetd
RESUMO : Correções para vazamento de memória e outros problemas
DATA : 2003-11-12 17:25:00
ANÚNCIO : CLA-2003:782
EDIÇÕES : 7.0, 8, 9

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 "xinetd"[1] é uma alternativa ao superservidor inetd, usado para
 disparar diversos serviços sob demanda.
 
 A versão 2.3.12 corrige diversos problemas[3] encontrados nas versões
 anteriores, incluindo:
 
 - vazamento de memória (CAN-2003-0211)[2]. Versões anteriores à
 2.3.11 possuem um vazamento de memória que se manifesta a cada
 conexão recusada. Isso pode levar facilmente a uma situação de
 negação de serviço. Outros vazamentos de memória semelhantes também
 foram corrigidos, incluindo vazamentos de descritores de arquivos.
 
 - impossibilidade de utilizar o serviço cups-lpd com xinetd (ticket
 #9238[4]). O script de inicialização do xinetd não removia as
 variáveis de ambiente TMP e TMPDIR antes de iniciar o serviço, o que
 provocava falhas na execução de serviços que trocam de usuário como o
 cups-lpd.
 
 Diversas outras correções foram feitas na versão 2.3.12. Uma lista
 detalhada pode ser obtida na referência [3].

SOLUÇÃO
 É recomendado que todos os usuários do pacote xinetd façam a
 atualização. O serviço será automaticamente reiniciado se
 necessário.
 
 IMPORTANTE: a partir da versão 2.3.11, a opção "RECORD" do parâmetro
 de configuração "log_on_failure" não existe mais. Os pacotes aqui
 fornecidos automaticamente removerão esta opção do arquivo de
 configuração /etc/xinetd.conf caso ela esteja presente.
 
 Serviços individuais, no entanto, não são verificados. Dos pacotes do
 Conectiva Linux, apenas o proftpd utiliza esta opção, e sua remoção
 terá que ser feita manualmente pelo administrador caso o proftpd
 esteja sendo utilizado no modo "inetd" (que é o padrão apenas no
 Conectiva Linux 7, versões posteriores da distribuição usam o modo
 "standalone"). Eventuais novas atualizações do proftpd já não farão
 mais uso da opção "RECORD".
 
 
 REFERÊNCIAS
 1. http://www.xinetd.org/
 2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0211
 3. http://www.xinetd.org/#changes
 4. http://bugzilla.conectiva.com.br/show_bug.cgi?id=9238

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/xinetd-2.3.12-1U70_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/xinetd-2.3.12-1U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/xinetd-devel-2.3.12-1U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/xinetd-devel-static-2.3.12-1U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/xinetd-2.3.12-1U80_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/xinetd-2.3.12-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/xinetd-devel-2.3.12-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/xinetd-devel-static-2.3.12-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/xinetd-2.3.12-27299U90_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/xinetd-2.3.12-27299U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/xinetd-devel-2.3.12-27299U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/xinetd-devel-static-2.3.12-27299U90_1cl.i386.rpm

INSTRUÇÕES ADICIONAIS
 A ferramenta apt pode ser utilizada para fazer atualizações de
 pacotes RPM:

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2003 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE/sola42jd0JmAcZARApN3AJ0fClkwOXRvACE8UhZjzNEAGbK3EACgv/OB
sWR10bm1LxQKTIrxv54Ovhg=
=sGkd
-----END PGP SIGNATURE-----

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]