OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
[atualizacoes-anuncio] [CLA-2004:809] Anúncio de Segurança Conectiva - screen

From: Conectiva Updates (secureconectiva.com.br)
Date: Tue Jan 20 2004 - 04:53:41 CST

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : screen
RESUMO : Correção de segurança
DATA : 2004-01-20 08:53:00
ANÚNCIO : CLA-2004:809
EDIÇÕES : 8, 9

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 Screen[1] é um programa que permite que o usuário gerencie múltiplas
 sessões dentro de um terminal apenas.
 
 Timo Sirainen reportou[1] uma vulnerabilidade[2] de buffer overflow
 no pacote screen que pode ser explorada por um atacante que consiga
 enviar cerca de 2Gb de dados para uma sessão screen de um usuário.
 
 Além disso, uma correção para um problema em potencial relacionado a
 tamanhos de janelas também foi incorporada.
 
 Note que screen não é instalado setuid/setgid, o que diminui o
 impacto desta vulnerabilidade.

SOLUÇÃO
 É recomendado que todos os usuários do screen façam a atualização.
 
 
 REFERÊNCIAS
 1. http://www.gnu.org/software/screen/
 2. http://marc.theaimsgroup.com/?l=bugtraq&m=106995837813873&w=2
 3. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0972

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/8/SRPMS/screen-3.9.10-2U80_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/screen-3.9.10-2U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/screen-3.9.13-24126U90_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/screen-3.9.13-24126U90_1cl.i386.rpm

INSTRUÇÕES ADICIONAIS
 A ferramenta apt pode ser utilizada para fazer atualizações de
 pacotes RPM:

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2004 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQFADQi042jd0JmAcZARApcwAJ0URURR3Msxu4PvDANPIsXTJbWFgQCgwOu7
DAZiDA8q8i/lVHQynnnggV8=
=1bz0
-----END PGP SIGNATURE-----