OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
[atualizacoes-anuncio] [CLA-2004:833] Anúncio de Segurança Conectiva - mc

From: Conectiva Updates (secureconectiva.com.br)
Date: Wed Mar 31 2004 - 12:04:07 CST

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : mc
RESUMO : Vulnerabilidade de estouro de buffer
DATA : 2004-03-31 15:03:00
ANÚNCIO : CLA-2004:833
EDIÇÕES : 8, 9

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 O Midnight Commander (mc) é um shell visual e gerenciador de arquivos
 em modo texto.
 
 Esta atualização corrige uma vulnerabilidade[1,2] de estouro de
 buffer no código que trata links simbólicos no módulo de sistemas de
 arquivos virtuais (VFS). Um atacante pode explorar essa
 vulnerabilidade criando um arquivo comprimido (.tar.gz, cpio, etc)
 especial que quando aberto no mc venha a disparar a execução de
 código arbitrário com os privilégios do usuário a executar o
 programa.

SOLUÇÃO
 Todos os usuários do pacote mc devem fazer a atualização.
 
 
 REFERÊNCIAS
 1.http://www.securityfocus.com/bid/8658/
 2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-1023

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/8/RPMS/gmc-4.5.55-6U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/mc-4.5.55-6U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/mcserv-4.5.55-6U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/mc-4.5.55-6U80_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/gmc-4.5.55-19421U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/mc-4.5.55-19421U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/mcserv-4.5.55-19421U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/mc-4.5.55-19421U90_1cl.src.rpm

INSTRUÇÕES ADICIONAIS
 A ferramenta apt pode ser utilizada para fazer atualizações de
 pacotes RPM:

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2004 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQFAawgW42jd0JmAcZARAv/tAJ0bVAF3QgkLm/oPId2G+3Wx3lfNnwCgmYhG
HVX0687OSpseytF++YiCBuU=
=jRth
-----END PGP SIGNATURE-----