Atualizações
Por segurança, todos os pacotes listados aqui também são assinados
com a chave PGP da Conectiva. Veja-a em
http://www.conectiva.com.br/conectiva/contato.html
Visão Geral
Visão Detalhada
pacote: nmh
| resumo: |
Problema de segurança |
| anúncio n°: |
4.2-015 |
| data: |
2000-03-01 |
| palavras-chave: |
shell remoto |
descrição do problema:
Versões antigas do nmh permitiam a execução de código shell
arbitrário em mensagens recebidas. A atualização para a
versão mais nova é altamente recomendada para os usuários
do nmh.
solução:
Atualize os pacotes de acordo com o descrito abaixo.
pacotes RPM:
4.2/i386/nmh-1.0.3-1cl.i386.rpm
pacote: htdig
| resumo: |
Problema de Segurança |
| anúncio n°: |
4.2-014 |
| data: |
2000-02-28 |
| palavras-chave: |
acesso remoto |
descrição do problema:
O htdig possuía um problema de segurança que permitia que
usuários remotos não autorizados pudessem ler qualquer arquivo
do sistema que pudessem ser lidos pelo usuário do htdig.
A nova versão do htdig resolve esse problema. A atualização
é recomendada para todos os usuários do htdig.
solução:
Atualize os pacotes conforme descrito abaixo.
pacotes RPM:
4.2/i386/htdig-3.1.5-1cl.i386.rpm
pacote: squid
| resumo: |
problemas de segurança |
| anúncio n°: |
4.2-013 |
| data: |
2000-02-10 |
| palavras-chave: |
autenticação anônimo poluição de cache |
descrição do problema:
Em versões do Squid anteriores a 2.3.STABLE1 alguns problemas
existiam:
* O processo de autenticação poderia ser manipulado de forma indevida
* Cabeçalhos do procolo HTTP desconhecidos não eram eliminados
corretamente quando a opção de anonimizar pedidos fosse ligada.
* O cache poderia ser poluído caso houvessem vários domínios virtuais
em um mesmo servidor.
solução:
Atualize os pacotes de acordo com a lista abaixo.
A atualização do Squid é recomendada para todos os usuários que o
utilizam.
pacotes RPM:
4.2/i386/squid-2.3.1-1cl.i386.rpm
pacote: lpr
| resumo: |
problemas de segurança |
| anúncio n°: |
4.2-012 |
| data: |
2000-01-10 |
| palavras-chave: |
lpr lpd |
descrição do problema:
O lpr tinha dois problemas de segurança:
- O hostname do cliente não era checado corretamente, o que poderia
causar a distribuição incorreta de permissões para máquinas não
autorizadas.
- A forma de passar opções para o sendmail permitia que acesso
root fosse conseguido.
--- (1999-10-26) ---
O pacote lpr foi atualizado para consertar problemas de segurança
e consertar bugs antigos.
--- (1999-10-22) ---
Foram encontrados problemas de segurança no lpr que permitem
usuarios
imprimir arquivos sem permissão.
solução:
Atualize o lpr, de acordo com os pacotes abaixo:
pacotes RPM:
4.2/i386/lpr-0.48-1cl.i386.rpm
pacote: Zope
| resumo: |
Furos de segurança e usabilidade |
| anúncio n°: |
4.2-011 |
| data: |
2000-01-07 |
| palavras-chave: |
zope segurança usabilidade |
descrição do problema:
Foi detectado um furo de segurança no Zope, e como resposta a esse
problema foi lançada a versão 2.1.2 do Zope. A nova versão do pacote
para o Conectiva Linux 4.2 traz a nova versão do Zope além de vários
pequenos consertos de usabilidade do pacote. As principais
alterações estão listadas a seguir:
- Versão 2.1.2
- O Zope.cgi agora é instalado em /home/httpd/cgi-bin por padrão
- O Zope está configurado para iniciar seu próprio servidor na
porta 8080, e o servidor FTP do Zope está desligado por
padrão.
- Um problema de incompatibilidade com versões mais antigas
do syslog foi resolvido.
- O script de inicialização do Zope é capaz de parar o serviço
corretamente, inclusive PCGI.
solução:
Atualizar os pacotes de acordo com a lista abaixo.
pacotes RPM:
4.2/i386/Zope-2.1.2-2cl.i386.rpm
4.2/i386/Zope-core-2.1.2-2cl.i386.rpm
4.2/i386/Zope-components-2.1.2-2cl.i386.rpm
4.2/i386/Zope-ztemplates-2.1.2-2cl.i386.rpm
4.2/i386/Zope-zpublisher-2.1.2-2cl.i386.rpm
4.2/i386/Zope-services-2.1.2-2cl.i386.rpm
4.2/i386/Zope-pcgi-2.1.2-2cl.i386.rpm
pacote: radiusd-cistron
| resumo: |
O "watcher" do radiusd enviava muitas mensagens para o root |
| anúncio n°: |
4.2-004 |
| data: |
2000-01-06 |
| palavras-chave: |
radiusd cistron initscripts |
descrição do problema:
O "watcher" do radiusd recebia, via initscripts, o caminho errado
para o deamon radiusd, causando o envio de uma série (infindável) de
mensagens para o root.
solução:
O script do radiusd foi modificado de forma a especificar
corretamente o caminho do deamon. Além disso, o pacote sofreu uma
atualização para uma versão mais recente.
pacotes RPM:
4.2/i386/radiusd-cistron-1.6.1-3cl.i386.rpm
pacote: pam
| resumo: |
Furo de segurança local |
| anúncio n°: |
4.2-002 |
| data: |
2000-01-04 |
| palavras-chave: |
segurança local root |
descrição do problema:
O pacote pam que vinha com todas as versões do Conectiva Linux da
série 4.x contém um furo de segurança local que pode dar acesso root
a usuários locais sem autorização.
solução:
Atualize os pacotes pam e usermode de acordo com a lista abaixo.
pacotes RPM:
4.2/i386/pam-0.68-3cl.i386.rpm
4.2/i386/usermode-1.17-1cl.i386.rpm
pacote: htdig
| resumo: |
Problemas de segurança |
| anúncio n°: |
4.2-010 |
| data: |
1999-12-10 |
| palavras-chave: |
shell |
descrição do problema:
O pacote htdig não checava por seqüências especials do shell ao
executar programas auxiliares. Esse problema poderia causar a
execução não autorizada de comandos remotamente. A atualização é
recomendada para todos os usuários do htdig.
solução:
A atualização do pacote resolve esse problema de segurança.
pacotes RPM:
4.2/i386/htdig-3.1.2-2cl.i386.rpm
pacote: portslave
| resumo: |
Resolução do problema de compatibilidade com PPP |
| anúncio n°: |
4.2-009 |
| data: |
1999-12-09 |
| palavras-chave: |
ppp |
descrição do problema:
A versão do portslave distribuída com o Conectiva Linux 4.0
tinha um problema de integração com o PPP para usuários
do kernel 2.2.
solução:
Atualizar os pacotes para os descritos abaixo.
pacotes RPM:
4.2/i386/portslave-1.2.0pre12-1cl.i386.rpm
pacote: sysklogd
| resumo: |
Possível ataque DoS no syslogd |
| anúncio n°: |
4.2-008 |
| data: |
1999-11-23 |
| palavras-chave: |
syslogd DoS |
descrição do problema:
O syslogd disponível em todas as versões do Conectiva Linux pode
sofrer de um ataque DoS (negação de serviço). Um usuário do sistema
poderia abrir uma grande quantidade de conexões com o syslogd e
efetivamente desabilitar o servidor.
solução:
Uma nova versão do pacote está disponível para os usuários do
Conectiva Linux. A atualização é recomendada para todos os usuários.
pacotes RPM:
4.2/i386/sysklogd-1.3.31-10cl.i386.rpm
pacote: proftpd
| resumo: |
Problemas de segurança |
| anúncio n°: |
4.2-007 |
| data: |
1999-11-12 |
| palavras-chave: |
buffer overflow |
descrição do problema:
Foi lançada uma nova versão do proftpd, que corrige furos de
segurança e adiciona funcionalidades ao proftpd. Devido aos
problemas de segurança (buffer overflows), a atualização é
fortemente recomendada a todos os usuários do proftpd.
Note-se que a atualização contém mudanças feitas pelo time de
desenvolvimento do proftpd, e portanto consultar a documentação é
altamente recomendado.
Mais notavelmente, os usuários das diretivas MaxDownloadBPS e
MaxUploadBPS devem mudar seus arquivos de configuração para
RateReadBPS e RateWriteBPS, que têm funcionalidade mais flexível. A
documentação sobre o novo funcionamento do sistema de limitação de
banda pode ser encontrada em /usr/doc/proftpd*/.
--- (1999-09-29) ---
Foram encontrados mais problemas no proftpd (buffer overflows)
--- (1999-09-13) ---
Foram encontrados mais problemas de segurança no proftpd
--- (1999-08-30) ---
Foram encontrados problemas de segurança no proftpd.
solução:
Atualize o proftpd, de acordo com os pacotes abaixo:
pacotes RPM:
4.2/i386/proftpd-1.2.0pre9-12cl.i386.rpm
pacote: bind
| resumo: |
Correção de problemas de segurança |
| anúncio n°: |
4.2-006 |
| data: |
1999-11-11 |
| palavras-chave: |
bind bind-devel bind-utils |
descrição do problema:
Foram encontrados vários problemas de segurança na versão do bind
distribuído com todas as versões do Conectiva Linux. Entre esses
furos, estão os conhecidos como "nxt", "solinger", "fdmax", "sig",
"naptr" e "maxdname".
Maiores informações sobre esses problemas de segurança podem ser
encontradas na página do Internet Software Consortium em
http://www.isc.org/products/BIND/bind-security-19991108.html.
O aviso da CERT está em
http://www.cert.org/advisories/CA-99-14-bind.html.
A atualização é fortemente recomendada para todos os usuários do
BIND.
--- (1999-07-29) ---
Foi disponibilizado este update apenas para manter a versão do bind
utilizado pelo Conectiva Linux 4.0, como a mais nova possível. Não
há
problemas de segurança conhecidos com a versão do bind que vem
originalmente na distribuição.
solução:
Atualizar o bind, de acordo com os pacotes descritos abaixo:
pacotes RPM:
4.2/i386/bind/bind-8.2.2P3-2cl.i386.rpm
4.2/i386/bind/bind-devel-8.2.2P3-2cl.i386.rpm
4.2/i386/bind/bind-doc-8.2.2P3-2cl.i386.rpm
4.2/i386/bind/bind-utils-8.2.2P3-2cl.i386.rpm
pacote: lynx
| resumo: |
incompatibilidade com wuftpd |
| anúncio n°: |
4.2-005 |
| data: |
1999-11-08 |
| palavras-chave: |
lynx rfc incompatibilidade |
descrição do problema:
O Lynx possuía um problema que se manifestava ao conectar a um
servidor ftp wuftpd e possivelmente outros. Versões antigas parariam
sem mostrar a página até que o carregamento fosse interrompido
manualmente pelo usuário. A nova versão do pacote corrige esse
problema.
--- (1999-09-21) ---
Foram encontrados buffers overflows no lynx que é distribuido com o
Conectiva Linux
solução:
Atualizar o lynx, de acordo com os pacotes abaixo:
pacotes RPM:
4.2/i386/lynx-2.8.3pre13-16cl.i386.rpm
Por segurança, todos os pacotes listados aqui também são assinados
com a chave PGP da Conectiva. Veja-a em
http://www.conectiva.com.br/conectiva/contato.html
info@conectiva.com.br