NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2006-q1

[Atualizacoes-anuncio] [CLA-2006:1056] Anúncio de Segurança Conectiva - perl

From: Conectiva Updates (secureconectiva.com.br)
Date: Mon Jan 02 2006 - 10:11:40 CST

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : perl
RESUMO : Correções de segurança para o Perl
DATA : 2006-01-02 14:11:00
ANÚNCIO : CLA-2006:1056
EDIÇÕES : 10

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
Perl[1] é uma linguagem de programação estável e multiplataforma.

1.CVE-2005-0448[2]
   Uma condição de corrida na função rmtree em FIle::Path.pm no Perl
permite a atacantes locais criar arquivos binários arbitrários com
setuid na árvore sendo removida.

2.CVE-2005-0155[3]
   A implementação do PerlIO no Perl 5.8.0, quando instalado com
suporte a setuid (sperl), permit a atacantes locais criar arquivos
arbitrários através da variável PERLIO_DEBUG.

3.CVE-2005-0156[4]
   Estouro de buffer na implementação do PerlIO no Perl 5.8.0, quando
instalado com suporte a setuid (sperl), permite a atacantes locais
executar código arbitrário configurando a variável PERLIO_DEBUG e
executando um script Perl cujo caminho completo até ele contém uma
longa árvore de diretórios.

4.CVE-2005-3962[5]
   Estouro de inteiro na funcionalidade de formato de textos
(Perl_sv_vcatpvfn) no Perl 5.9.2 e Perl 5.8.6 permite a atacantes
locais sobrescrever memória arbitrária e possivelmente executar
código arbitrário através de especificadores de formato de texto com
grandes valores, que causam um estouro de inteiro.

SOLUÇÃO
É recomendado que todos os usuários do Perl atualizem os seus
pacotes.

IMPORTANTE: É necessário reiniciar todas as aplicações Perl após a
atualização para que as vulnerabilidades sejam devidamente
corrigidas.

REFERÊNCIAS
1.http://www.perl.org/
2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-0448
3.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-0155
4.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-0156
5.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3962

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/10/SRPMS/perl-5.8.3-62257U10_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/libperl5.8-5.8.3-62257U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/miniperl-5.8.3-62257U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/perl-5.8.3-62257U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/perl-base-5.8.3-62257U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/perl-devel-5.8.3-62257U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/perl-devel-static-5.8.3-62257U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/perl-doc-5.8.3-62257U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/perl-modules-5.8.3-62257U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/perl-suidperl-5.8.3-62257U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/perl-utils-5.8.3-62257U10_1cl.i386.rpm

INSTRUÇÕES ADICIONAIS
A ferramenta apt pode ser utilizada para fazer atualizações de
pacotes RPM:

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2004 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQFDuVC742jd0JmAcZARAv5kAJ912jEwDuNrunoAlqUd2NPY0AYFRQCfdjx0
KyWpQPJGjFNgYPXSCrXcJB4=
=7Sir
-----END PGP SIGNATURE-----

--===============1853036427==
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

__________________________________________________________________________
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
--===============1853036427==--

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]