blob: 55a2bb78d275b61f332112bc8db70bd7c002b9a7 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
|
#use wml::debian::translation-check translation="421f2075349590201c403c21bf545e4577937a94"
<define-tag description>buffer overflow</define-tag>
<define-tag moreinfo>
<p>Uma vulnerabilidade foi descoberta no NANOG traceroute, uma versão melhorada
do programa Van Jacobson/BSD traceroute. Um buffer overflow ocorre na função
'get_origin()'. Devido a limites insuficientes na checagem feita pelo analisador
whois, isso pode possibilitar a corrupção da memória na pilha do sistema. Essa
vulnerabilidade pode ser explorada por um atacante remoto para obter privilégios
de root na máquina alvo. De qualquer forma, muito provavelmente não afetará o
Debian.</p>
<p>O projeto Exposições de Vulnerabilidades Comuns (CVE) além disso identificou as
seguintes vulnerabilidades que já foram corrigidas na versão estável (woody) na
antiga estável (potato) e estão mencionados aqui para integração (e desde que
outras distribuições tenham que liberar um alerta separado para elas):</p>
<ul>
<li>CAN-2002-1364 (ID do BugTraq 6166) fala sobre um buffer overflow na função
get_origin, isso permite que atacantes remotos executem códigos arbitrários
via respostas do WHOIS.</li>
<li>CAN-2002-1051 (ID do BugTraq 4956) fala sobre uma vulnerabilidade de formato
de string, isso permite que usuários locais executem códigos arbitrários via
o argumento de linha de comando -T (terminador).</li>
<li>CAN-2002-1386 fala sobre um buffer overflow que pode permitir à usuários
locais executarem códigos arbitrários via um argumento longo de nome de host.
</li>
<li>CAN-2002-1387 fala sobre o modo spray que pode permitir à usuários locais o
poder de sobrescrever alocações arbitrárias de memória.</li>
</ul>
<p>Felizmente, o pacote Debian abandona os privilégios bem cedo, logo depois da
inicialização, então não é provável que esses problemas possam resultar em
falhas exploráveis nos sistemas com o Debian.</p>
<p>Para a atual distribuição estável (woody) o problema acima foi corrigido na
versão 6.1.1-1.2.</p>
<p>Para a antiga distribuição estável (potato) o problema acima foi corrigido na
versão 6.0-2.2.</p>
<p>Para a distribuição instável (sid) esses problemas foram corrigidos na versão
6.3.0-1.</p>
<p>Nós recomendamos que você atualize seu pacote traceroute-nanog.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-254.data"
|