Alerta de Segurança Debian
DSA-307-1 gps -- várias vulnerabilidades
- Data do Alerta:
- 27 Mai 2003
- Pacotes Afetados:
- gps
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 7736.
No dicionário CVE do Mitre: CVE-2003-0361, CVE-2003-0360, CVE-2003-0362. - Informações adicionais:
-
gPS é uma aplicação gráfica para monitorar processos do sistema. Na release 1.1.0 do pacote gps, várias vulnerabilidades de segurança foram corrigidas, como detalhado no changelog:
- correção de bug na política de origens das quais aceitar conexões do rgpsp (isto permitia que qualquer host conectasse mesmo quando o arquivo /etc/rgpsp.conf dizia o contrário). Isto está funcionando agora, mas em qualquer rede real ("em produção"), eu sugiro que você use filtragem de IP para fortalecer a segurança (como ipchains ou iptables).
- Várias possibilidade de buffer overflows foram corrigidas. Obrigada a Stanislav Ievlev do ALT-Linux por apontar vários deles.
- Corrigida a má formatação nos parâmetros das linhas de comandos no protocolo rgpsp (linhas de comando com novas linhas devem quebrar o protocolo).
- Corrigido buffer overflow que fazia com que o rgpsp recebesse um SIGSEGV quando eram iniciados processos com grandes linhas de comando (>128 caracteres) [somente Linux].
Todos estes problemas afetam a versão 0.9.4-1 do pacote gps da Debian woody. A Debian potato também contém um pacote gps (versão 0.4.1-2), mas que não foi afetado por estes problemas, uma vez que a funcionalidade relevante não foi implementada nesta versão.
Na atual distribuição estável (woody), este problema foi corrigido na versão 0.9.4-1woody1.
A antiga distribuição estável (potato) não foi afetada por estes problemas.
Na distribuição instável (sid), este problema foi corrigido na versão 1.1.0-1.
Nós recomendamos que você atualize seus pacotes gps.
- Corrigido em:
-
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1.dsc
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1.diff.gz
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_alpha.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_alpha.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_arm.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_arm.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_i386.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_i386.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_ia64.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_ia64.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_hppa.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_hppa.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_m68k.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_m68k.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_mips.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_mips.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_s390.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_s390.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_sparc.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_sparc.deb
- http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.