OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
[Atualizacoes-anuncio] [CLA-2004:854] Anúncio de Segurança Conectiva - samba

From: Conectiva Updates (secureconectiva.com.br)
Date: Fri Jul 30 2004 - 09:38:56 CDT

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : samba
RESUMO : Múltiplos buffer overruns em potencial
DATA : 2004-07-30 11:35:00
ANÚNCIO : CLA-2004:854
EDIÇÕES : 8, 9

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 Samba[1] é um pacote que oferece serviços SMB/CIFS (como
 compartilhamento de arquivos e impressoras) que são utilizados por
 sistemas compatíveis com o Microsoft Windows(R).
 
 Evgeny Demidov notou que uma rotina interna usada pelo Samba Web
 Administration Tool (SWAT) para decodificar os dados base64 durante a
 autenticação básica HTTP era sujeita[2] a um buffer overrun causado
 por um caracter base64 inválido. Esse mesmo código é utilizado
 internamente para decodificar o valor do atributo sambaMungedDial
 quando utilizando o backend ldapsam passwd e para decodificar a
 entrada fornecida ao utilitário ntlm_auth.
 
 Outro erro[3] de buffer overrun foi encontrado no código utilizado
 para suportar a opção 'mangling method = hash' no arquivo smb.conf.
 Por favor, note que o padrão para este parâmetro é 'mangling method =
 hash2', que não é vulnerável.

SOLUÇÃO
 É recomendado que todos os usuários do samba façam a atualização.
 Esta atualização vai reiniciar automaticamente o serviço se ele já
 estiver em funcionamento.
 
 
 REFERÊNCIAS
 1.http://www.samba.org/
 2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0600
 3.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0686

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/8/SRPMS/samba-2.2.10-1U80_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/samba-2.2.10-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/samba-clients-2.2.10-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/samba-codepagesource-2.2.10-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/samba-common-2.2.10-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/samba-doc-2.2.10-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/samba-swat-2.2.10-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/samba-2.2.10-27520U90_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/samba-2.2.10-27520U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/samba-clients-2.2.10-27520U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/samba-codepagesource-2.2.10-27520U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/samba-common-2.2.10-27520U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/samba-devel-2.2.10-27520U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/samba-doc-2.2.10-27520U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/samba-ldap-2.2.10-27520U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/samba-swat-2.2.10-27520U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/samba-vfs-2.2.10-27520U90_1cl.i386.rpm

INSTRUÇÕES ADICIONAIS
 A ferramenta apt pode ser utilizada para fazer atualizações de
 pacotes RPM:

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2004 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQFBCl1/42jd0JmAcZARAsRcAJ9M/4IKjvyemWyugrv7T27i/1TTVQCg846k
keljyWsURS8+binq6MahGA4=
=P99m
-----END PGP SIGNATURE-----

--===============1413523140==
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

__________________________________________________________________________
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
--===============1413523140==--