NEOHAPSIS - Peace of Mind Through Integrity and Insight

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com

Neohapsis > Archives > Conectiva Linux> 2006-q2

[Atualizacoes-anuncio] [CLA-2006:1073] Anúncio de Segurança Conectiva - webmin

From: Conectiva Updates (secureconectiva.com.br)
Date: Wed Jun 07 2006 - 05:32:17 CDT

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : webmin
RESUMO : Correção de segurança para o webmin
DATA : 2006-06-07 07:30:00
ANÚNCIO : CLA-2006:1073
EDIÇÕES : 10

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
O Webmin[1] é uma interface baseada em web para administração de
sistemas Unix.

Este anúncio corrige uma vulnerabilidade[2] encontrada por Jack Louis
na qual uma vulnerabilidade de texto de formatação em miniserv.pl
(servidor web feito em perl) do Webmin anterior a 1.250 e Usermin
anterior a 1.180 e com logs através do syslog habilitado poderia
permitir a atacantes remotos causar situações de negação de serviço
(término da aplicação ou consumo de memória) e possivelmente executar
código arbitrário através de especificadores de formatação através do
parâmetro nome do usuário no formulário de login, o qual mais tarde é
utilizado em uma chamada ao syslog.

SOLUÇÃO
É recomendado que todos os usuários do Webmin atualizem os seus
pacotes. Note que para corrigir devidamente a vulnerabilidade, o
serviço será automaticamente reiniciado após a atualização.

REFERÊNCIAS
1.http://www.webmin.com/
2.http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3912

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/10/SRPMS/webmin-1.150-63242U10_2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/task-webmin-1.150-63242U10_2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/task-webmin-desktop-1.150-63242U10_2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/task-webmin-server-1.150-63242U10_2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/webmin-1.150-63242U10_2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/webmin-base-1.150-63242U10_2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/webmin-desktop-1.150-63242U10_2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/webmin-other-1.150-63242U10_2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/webmin-server-1.150-63242U10_2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/webmin-theme-mscstyle3-1.150-63242U10_2cl.noarch.rpm

INSTRUÇÕES ADICIONAIS
A ferramenta apt pode ser utilizada para fazer atualizações de
pacotes RPM:

- execute: apt-get update
- seguido por: apt-get upgrade

Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2004 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQFEhqsw42jd0JmAcZARAvp0AKDDBv/pLdtXnqBa9U/SoD3H886MpwCfVVmq
ywyOx2aWJwMfZ+mTsJI8Npw=
=NO7j
-----END PGP SIGNATURE-----

--===============0089077460==
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

__________________________________________________________________________
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
--===============0089077460==--

Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]