Alerta de Segurança Debian

DSA-307-1 gps -- várias vulnerabilidades

Data do Alerta:
27 Mai 2003
Pacotes Afetados:
gps
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 7736.
No dicionário CVE do Mitre: CVE-2003-0361, CVE-2003-0360, CVE-2003-0362.
Informações adicionais:

gPS é uma aplicação gráfica para monitorar processos do sistema. Na release 1.1.0 do pacote gps, várias vulnerabilidades de segurança foram corrigidas, como detalhado no changelog:

  • correção de bug na política de origens das quais aceitar conexões do rgpsp (isto permitia que qualquer host conectasse mesmo quando o arquivo /etc/rgpsp.conf dizia o contrário). Isto está funcionando agora, mas em qualquer rede real ("em produção"), eu sugiro que você use filtragem de IP para fortalecer a segurança (como ipchains ou iptables)
  • Várias possibilidade de buffer overflows foram corrigidas. Obrigada a Stanislav Ievlev do ALT-Linux por apontar vários deles.
  • Corrigida a má formatação nos parâmetros das linhas de comandos no protocolo rgpsp (linhas de comando com novas linhas devem quebrar o protocolo)
  • Corrigido buffer overflow que fazia com que o rgpsp recebesse um SIGSEGV quando eram iniciados processos com grandes linhas de comando (>128 caracteres) [somente Linux]

Todos estes problemas afetam a versão 0.9.4-1 do pacote gps da Debian woody. A Debian potato também contém um pacote gps (versão 0.4.1-2), mas que não foi afetado por estes problemas, uma vez que a funcionalidade relevante não foi implementada nesta versão.

Na atual distribuição estável (woody), este problema foi corrigido na versão 0.9.4-1woody1.

A antiga distribuição estável (potato) não foi afetada por estes problemas.

Na distribuição instável (sid), este problema foi corrigido na versão 1.1.0-1.

Nós recomendamos que você atualize seus pacotes gps.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1.dsc
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1.diff.gz
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_alpha.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_arm.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_i386.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_ia64.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_hppa.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_m68k.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_mips.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_mipsel.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_powerpc.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_s390.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/g/gps/gps_0.9.4-1woody1_sparc.deb
http://security.debian.org/pool/updates/main/g/gps/rgpsp_0.9.4-1woody1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.