Atualizações
Por segurança, todos os pacotes listados aqui também são assinados
com a chave PGP da Conectiva. Veja-a em
http://www.conectiva.com.br/conectiva/contato.html
Visão Geral
Visão Detalhada
pacote: nmh
| resumo: |
Problema de segurança |
| anúncio n°: |
A-SER10-021 |
| data: |
2000-03-01 |
| palavras-chave: |
shell remoto |
descrição do problema:
Versões antigas do nmh permitiam a execução de código shell
arbitrário em mensagens recebidas. A atualização para a
versão mais nova é altamente recomendada para os usuários
do nmh.
solução:
Atualize os pacotes de acordo com o descrito abaixo.
pacotes RPM:
servidor-1.0/alpha/nmh-1.0.3-1cl.alpha.rpm
pacote: htdig
| resumo: |
Problema de Segurança |
| anúncio n°: |
A-SER10-020 |
| data: |
2000-02-28 |
| palavras-chave: |
acesso remoto |
descrição do problema:
O htdig possuía um problema de segurança que permitia que
usuários remotos não autorizados pudessem ler qualquer arquivo
do sistema que pudessem ser lidos pelo usuário do htdig.
A nova versão do htdig resolve esse problema. A atualização
é recomendada para todos os usuários do htdig.
solução:
Atualize os pacotes conforme descrito abaixo.
pacotes RPM:
servidor-1.0/alpha/htdig-3.1.5-1cl.alpha.rpm
pacote: squid
| resumo: |
problemas de segurança |
| anúncio n°: |
A-SER10-019 |
| data: |
2000-02-10 |
| palavras-chave: |
autenticação anônimo poluição de cache |
descrição do problema:
Em versões do Squid anteriores a 2.3.STABLE1 alguns problemas
existiam:
* O processo de autenticação poderia ser manipulado de forma indevida
* Cabeçalhos do procolo HTTP desconhecidos não eram eliminados
corretamente quando a opção de anonimizar pedidos fosse ligada.
* O cache poderia ser poluído caso houvessem vários domínios virtuais
em um mesmo servidor.
solução:
Atualize os pacotes de acordo com a lista abaixo.
A atualização do Squid é recomendada para todos os usuários que o
utilizam.
pacotes RPM:
servidor-1.0/alpha/squid-2.3.1-1cl.alpha.rpm
pacote: lpr
| resumo: |
problemas de segurança |
| anúncio n°: |
A-SER10-012 |
| data: |
2000-01-10 |
| palavras-chave: |
lpr lpd |
descrição do problema:
O lpr tinha dois problemas de segurança:
- O hostname do cliente não era checado corretamente, o que poderia
causar a distribuição incorreta de permissões para máquinas não
autorizadas.
- A forma de passar opções para o sendmail permitia que acesso
root fosse conseguido.
--- (1999-10-26) ---
O pacote lpr foi atualizado para consertar problemas de segurança
e consertar bugs antigos.
--- (1999-10-22) ---
Foram encontrados problemas de segurança no lpr que permitem
usuarios
imprimir arquivos sem permissão.
solução:
Atualize o lpr, de acordo com os pacotes abaixo:
pacotes RPM:
servidor-1.0/alpha/lpr-0.48-1cl.alpha.rpm
pacote: radiusd-cistron
| resumo: |
O "watcher" do radiusd enviava muitas mensagens para o root |
| anúncio n°: |
A-SER10-018 |
| data: |
2000-01-06 |
| palavras-chave: |
radiusd cistron initscripts |
descrição do problema:
O "watcher" do radiusd recebia, via initscripts, o caminho errado
para o deamon radiusd, causando o envio de uma série (infindável) de
mensagens para o root.
solução:
O script do radiusd foi modificado de forma a especificar
corretamente o caminho do deamon. Além disso, o pacote sofreu uma
atualização para uma versão mais recente.
pacotes RPM:
servidor-1.0/alpha/radiusd-cistron-1.6.1-3cl.alpha.rpm
pacote: htdig
| resumo: |
Problemas de segurança |
| anúncio n°: |
A-SER10-017 |
| data: |
1999-12-10 |
| palavras-chave: |
shell |
descrição do problema:
O pacote htdig não checava por seqüências especials do shell ao
executar programas auxiliares. Esse problema poderia causar a
execução não autorizada de comandos remotamente. A atualização é
recomendada para todos os usuários do htdig.
solução:
A atualização do pacote resolve esse problema de segurança.
pacotes RPM:
servidor-1.0/alpha/htdig-3.1.2-2cl.alpha.rpm
pacote: sysklogd
| resumo: |
Possível ataque DoS no syslogd |
| anúncio n°: |
A-SER10-016 |
| data: |
1999-11-23 |
| palavras-chave: |
syslogd DoS |
descrição do problema:
O syslogd disponível em todas as versões do Conectiva Linux pode
sofrer de um ataque DoS (negação de serviço). Um usuário do sistema
poderia abrir uma grande quantidade de conexões com o syslogd e
efetivamente desabilitar o servidor.
solução:
Uma nova versão do pacote está disponível para os usuários do
Conectiva Linux. A atualização é recomendada para todos os usuários.
pacotes RPM:
servidor-1.0/alpha/sysklogd-1.3.31-10cl.alpha.rpm
pacote: nfs-server
| resumo: |
Problemas de segurança no servidor nfs |
| anúncio n°: |
A-SER10-015 |
| data: |
1999-11-12 |
| palavras-chave: |
nfs-server servidor nfs |
descrição do problema:
A versão do servidor nfs userlevel nas distribuições citadas possuía
um buffer overflow ao exportar arquivos em modo de leitura e
gravação, devido à falta de checagem do tamanho de um caminho para
um arquivo. A versão atualizada do pacote corrige esse problema de
segurança e outros bugs menores, e é recomendada para os usuários do
servidor NFS userlevel.
--- (1999-07-27) ---
Devido à vários problemas de segurança contidos em versões
anteriores
do pacote nfs-server, este foi atualizado para a versão mais nova
disponível. Esta versão fixa vários pequenos problemas de segurança
e
DoS que existiam no pacote distribuido originalmente nestas
distribuições. O pacote nfs-server existe apenas no Conectiva Linux
3.0, e na edição Servidor 1.0. No Conectiva Linux 4.0 este pacote
foi
obsoletado pelo pacote knfsd.
solução:
Atualizar o servidor nfs, de acordo com os pacotes descritos abaixo:
pacotes RPM:
servidor-1.0/alpha/nfs-server-2.2beta47-1cl.alpha.rpm
servidor-1.0/alpha/nfs-server-clients-2.2beta47-1cl.alpha.rpm
pacote: proftpd
| resumo: |
Problemas de segurança |
| anúncio n°: |
A-SER10-007 |
| data: |
1999-11-12 |
| palavras-chave: |
buffer overflow |
descrição do problema:
Foi lançada uma nova versão do proftpd, que corrige furos de
segurança e adiciona funcionalidades ao proftpd. Devido aos
problemas de segurança (buffer overflows), a atualização é
fortemente recomendada a todos os usuários do proftpd.
Note-se que a atualização contém mudanças feitas pelo time de
desenvolvimento do proftpd, e portanto consultar a documentação é
altamente recomendado.
Mais notavelmente, os usuários das diretivas MaxDownloadBPS e
MaxUploadBPS devem mudar seus arquivos de configuração para
RateReadBPS e RateWriteBPS, que têm funcionalidade mais flexível. A
documentação sobre o novo funcionamento do sistema de limitação de
banda pode ser encontrada em /usr/doc/proftpd*/.
--- (1999-09-29) ---
Foram encontrados mais problemas no proftpd (buffer overflows)
--- (1999-09-13) ---
Foram encontrados mais problemas de segurança no proftpd
--- (1999-08-30) ---
Foram encontrados problemas de segurança no proftpd.
solução:
Atualize o proftpd, de acordo com os pacotes abaixo:
pacotes RPM:
servidor-1.0/alpha/proftpd-1.2.0pre9-12cl.alpha.rpm
pacote: bind
| resumo: |
Correção de problemas de segurança |
| anúncio n°: |
A-SER10-014 |
| data: |
1999-11-11 |
| palavras-chave: |
bind bind-devel bind-utils |
descrição do problema:
Foram encontrados vários problemas de segurança na versão do bind
distribuído com todas as versões do Conectiva Linux. Entre esses
furos, estão os conhecidos como "nxt", "solinger", "fdmax", "sig",
"naptr" e "maxdname".
Maiores informações sobre esses problemas de segurança podem ser
encontradas na página do Internet Software Consortium em
http://www.isc.org/products/BIND/bind-security-19991108.html.
O aviso da CERT está em
http://www.cert.org/advisories/CA-99-14-bind.html.
A atualização é fortemente recomendada para todos os usuários do
BIND.
--- (1999-07-29) ---
Foi disponibilizado este update apenas para manter a versão do bind
utilizado pelo Conectiva Linux 4.0, como a mais nova possível. Não
há
problemas de segurança conhecidos com a versão do bind que vem
originalmente na distribuição.
solução:
Atualizar o bind, de acordo com os pacotes descritos abaixo:
pacotes RPM:
servidor-1.0/alpha/bind/bind-8.2.2P3-2cl.alpha.rpm
servidor-1.0/alpha/bind/bind-devel-8.2.2P3-2cl.alpha.rpm
servidor-1.0/alpha/bind/bind-doc-8.2.2P3-2cl.alpha.rpm
servidor-1.0/alpha/bind/bind-utils-8.2.2P3-2cl.alpha.rpm
pacote: lynx
| resumo: |
incompatibilidade com wuftpd |
| anúncio n°: |
A-SER10-010 |
| data: |
1999-11-08 |
| palavras-chave: |
lynx rfc incompatibilidade |
descrição do problema:
O Lynx possuía um problema que se manifestava ao conectar a um
servidor ftp wuftpd e possivelmente outros. Versões antigas parariam
sem mostrar a página até que o carregamento fosse interrompido
manualmente pelo usuário. A nova versão do pacote corrige esse
problema.
--- (1999-09-21) ---
Foram encontrados buffers overflows no lynx que é distribuido com o
Conectiva Linux
solução:
Atualizar o lynx, de acordo com os pacotes abaixo:
pacotes RPM:
servidor-1.0/alpha/lynx-2.8.3pre13-16cl.alpha.rpm
pacote: ypserv
| resumo: |
problemas de segurança |
| anúncio n°: |
A-SER10-013 |
| data: |
1999-10-26 |
| palavras-chave: |
buffer overrun |
descrição do problema:
O pacote ypserv contém um furo de segurança.
solução:
A atualização para a versão mais nova do ypserv resolve o problema.
pacotes RPM:
servidor-1.0/alpha/ypserv-1.3.9-1cl.alpha.rpm
pacote: wu-ftpd
| resumo: |
problemas de segurança no servidor ftp |
| anúncio n°: |
A-SER10-002 |
| data: |
1999-10-22 |
| palavras-chave: |
buffer overrun |
descrição do problema:
O wu-ftpd versão 2.5.0 tem pelo menos dois furos de segurança.
--- (1999-08-25) ---
Foram encontrados problemas de segurança no wu-ftpd
solução:
Atualizar o wu-ftpd 2.6.0, de acordo com os pacotes descritos
abaixo:
pacotes RPM:
servidor-1.0/alpha/wu-ftpd-2.6.0-8cl.alpha.rpm
pacote: bash
| resumo: |
Problema de segurança |
| anúncio n°: |
A-SER10-011 |
| data: |
1999-10-21 |
| palavras-chave: |
tmp race |
descrição do problema:
O bash em todas as versões do Conectiva Linux tem um problema de
segurança relativo à criação de arquivos temporários.
solução:
Atualize o pacote bash.
pacotes RPM:
servidor-1.0/alpha/bash-1.14.7-23cl.alpha.rpm
pacote: inn
| resumo: |
problema de segurança |
| anúncio n°: |
A-SER10-009 |
| data: |
1999-09-04 |
| palavras-chave: |
innd inn buffer overflow |
descrição do problema:
Foram encontrados problemas de segurança no pacote
innd que possibilitam acesso não autorizado ao sistema.
solução:
Atualizar o innd, de acordo com os pacotes descritos abaixo.
pacotes RPM:
servidor-1.0/alpha/inews-2.2.1-15cl.alpha.rpm
servidor-1.0/alpha/inn-devel-2.2.1-15cl.alpha.rpm
servidor-1.0/alpha/inn-2.2.1-15cl.alpha.rpm
pacote: am-utils
| resumo: |
problemas de segurança |
| anúncio n°: |
A-SER10-008 |
| data: |
1999-08-31 |
| palavras-chave: |
am-utils amd |
descrição do problema:
Problemas de segurança foram encontrados no pacote am-utils.
solução:
Atualizar o am-utils, de acordo com os pacotes descritos abaixo.
pacotes RPM:
servidor-1.0/alpha/am-utils-6.0.1s11-10cl.alpha.rpm
pacote: vixie-cron
| resumo: |
problema de segurança |
| anúncio n°: |
A-SER10-006 |
| data: |
1999-08-26 |
| palavras-chave: |
vixie-cron crond cron |
descrição do problema:
Foi encontrado um problema de segurança no daemon cron (vixie-cron) do Conectiva Linux que permite acesso não autorizado ao sistema.
solução:
Atualizar o vixie-cron, de acordo com os pacotes descritos abaixo:
pacotes RPM:
servidor-1.0/alpha/vixie-cron-3.0.1-35cl.alpha.rpm
pacote: telnet
| resumo: |
DoS (Denial Of Service) no daemon telnet |
| anúncio n°: |
A-SER10-004 |
| data: |
1999-08-24 |
| palavras-chave: |
telnet DoS |
descrição do problema:
O servidor telnet possui um DoS (Denial of Service).
solução:
Atualizar o telnet, de acordo com os pacotes descritos abaixo:
pacotes RPM:
servidor-1.0/alpha/telnet-0.10-28cl.alpha.rpm
pacote: libtermcap
| resumo: |
problemas de segurança na libtermcap |
| anúncio n°: |
A-SER10-003 |
| data: |
1999-08-24 |
| palavras-chave: |
libtermcap |
descrição do problema:
Existe um buffer overflow no pacote libtermcap que vem com o Conectiva
Linux 4.0 que possibilita acesso inautorizado ao sistema.
solução:
Atualizar a libtermcap, de acordo com os pacotes descritos abaixo:
pacotes RPM:
servidor-1.0/alpha/libtermcap-2.0.8-17cl.alpha.rpm
servidor-1.0/alpha/libtermcap-devel-2.0.8-17cl.alpha.rpm
pacote: timetool
| resumo: |
Ano 2000 como bissexto |
| anúncio n°: |
A-SER10-001 |
| data: |
1999-07-27 |
| palavras-chave: |
timetool ano bissexto |
descrição do problema:
O pacote "timetool", para configuração de data e hora, incluído no
Conectiva Linux 3.0, e edição Servidor 1.0 representa o ano 2000 como
não bissexto, sendo que na verdade, o dia 29 de fevereiro de 2000 é
uma data válida. O timetool incluido na versão 4.0 do Conectiva Linux
não tem este problema.
solução:
Usuários do Conectiva Linux 3.0 e edição Servidor 1.0 devem atualizar
este pacote.
pacotes RPM:
servidor-1.0/noarch/timetool-2.6-1cl.noarch.rpm
servidor-1.0/SRPMS/timetool-2.6-1cl.src.rpm
Por segurança, todos os pacotes listados aqui também são assinados
com a chave PGP da Conectiva. Veja-a em
http://www.conectiva.com.br/conectiva/contato.html
info@conectiva.com.br