OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
[Atualizacoes-anuncio] [CLA-2006:1057] Anúncio de Segurança Conectiva - sudo

From: Conectiva Updates (secureconectiva.com.br)
Date: Mon Jan 02 2006 - 10:14:17 CST

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : sudo
RESUMO : Correção de segurança para o sudo
DATA : 2006-01-02 14:14:00
ANÚNCIO : CLA-2006:1057
EDIÇÕES : 10

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 sudo[1] é um utilitário muito utilizado por administradores de
 sistemas para delegar privilégios de root para usuários comuns para
 um conjunto muito específico de comandos.
 
 Este anúncio corrige uma vulnerabilidade[2] de obtenção de
 privilégios não permitidos descoberta por Tavis Ormandy. O sudo não
 apagava as variáveis de ambiente SHELLOPTS e PS4 antes de executar um
 bash script como outro usuário, o que poderia permitir a usuários
 locais obter privilégios não autorizados.

SOLUÇÃO
 É recomendado que todos os usuários do sudo atualizem os seus
 pacotes.
 
 REFERÊNCIAS
 1.http://www.courtesan.com/sudo/
 2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2959

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/10/SRPMS/sudo-1.6.8p9-42425U10_2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/sudo-1.6.8p9-42425U10_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/sudo-doc-1.6.8p9-42425U10_2cl.i386.rpm

INSTRUÇÕES ADICIONAIS
 A ferramenta apt pode ser utilizada para fazer atualizações de
 pacotes RPM:

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2004 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQFDuVFY42jd0JmAcZARAutjAJ4qJmlAcZZqx1z1xrblNTqgqsJSyQCg1WxZ
ObLDO+I9qY1CxmKgVvInoQ4=
=bqDW
-----END PGP SIGNATURE-----

--===============1518209936==
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

__________________________________________________________________________
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
--===============1518209936==--