OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
[Atualizacoes-anuncio] [CLA-2005:993] Anúncio de Segurança Conectiva - krb5

From: Conectiva Updates (secureconectiva.com.br)
Date: Mon Aug 08 2005 - 08:29:38 CDT

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : krb5
RESUMO : Correção de segurança para o Kerberos 5
DATA : 2005-08-08 10:29:00
ANÚNCIO : CLA-2005:993
EDIÇÕES : 9, 10

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 Os pacotes "krb5" são a implementação do MIT[1] do protocolo de
 autenticação Kerberos 5.
 
 O Centro de Distribuição de Chaves (KDC) do MIT Kerberos 5 (krb5) 1.3
 até 1.4.1 permite[2] a atacantes remotos causar negações de serviço
 (término da aplicação) através de certas conexões TCP (válidas) que
 ocasionam uma tentativa de liberação de memória não alocada através
 de uma chamada à função free().
 
 Ainda, um estouro de buffer permite[2] a atacantes remotos causar uma
 situação de negação de serviço (término da aplicação) e possivelmente
 executar código arbitrário através de certas requisições TCP ou UDP
 válidas.
 
 Finalmente, uma vulnerabilidade de free() duplo na função
 krb5_recvauth do MIT Kerberos 5 (krb5) 1.4.1 e anteriores permite[3]
 a atacantes remotos executar código arbitrário através de certas
 condições de erros.

SOLUÇÃO
 É recomendado que todos os usuários do Kerberos 5 façam a
 atualização. Se o serviço já estiver rodando, ele será
 automaticamente reiniciado após a atualização.
 
 Diversas aplicações podem usar as bibliotecas do pacote krb5.
 Recomenda-se que tais aplicações sejam reiniciadas também.
 
 
 REFERÊNCIAS
 1.http://web.mit.edu/Kerberos/www/index.html
 2.http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2005-002-kdc.txt
 3.http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2005-003-recvauth.txt

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/10/SRPMS/krb5-1.3.3-62470U10_6cl.src.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-1.3.3-62470U10_6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-apps-clients-1.3.3-62470U10_6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-apps-servers-1.3.3-62470U10_6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-client-1.3.3-62470U10_6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-devel-1.3.3-62470U10_6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-devel-static-1.3.3-62470U10_6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-doc-1.3.3-62470U10_6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/krb5-server-1.3.3-62470U10_6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/krb5-1.2.7-28721U90_7cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-1.2.7-28721U90_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-apps-clients-1.2.7-28721U90_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-apps-servers-1.2.7-28721U90_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-client-1.2.7-28721U90_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-devel-1.2.7-28721U90_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-devel-static-1.2.7-28721U90_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-doc-1.2.7-28721U90_7cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/krb5-server-1.2.7-28721U90_7cl.i386.rpm

INSTRUÇÕES ADICIONAIS
 A ferramenta apt pode ser utilizada para fazer atualizações de
 pacotes RPM:

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2004 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQFC915B42jd0JmAcZARAjMYAKDYLuEtN7wnlIP5PBazPeehb+0dPwCgoGOo
H+t1DXJNAEYMAD0vMsQtI7s=
=00QL
-----END PGP SIGNATURE-----

--===============1992095059==
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

__________________________________________________________________________
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
--===============1992095059==--