Segurança | NOTÍCIAS
para gerar um erro de asserção. (CVE-2007-1560) ■
2007:068
malicioso, um agressor remoto poderia realizar uma varredura de portas nas máquinas da rede do usuário, levando à divulgação de dados privados. ( CVE-20071562) ■
Referência no Ubuntu: USN-441-1
Referência no Slackware: SSA:2007-
➧ Evolution
066-03
to, faz de cadeias de caracteres de formato. Se um usuário for enganado de forma a abrir no Inkscape uma URI especialmente criada, um agressor remoto poderia executar código arbitrário com os privilégios desse usuário. (CVE2007-1463 ) ■
Referência no Ubuntu: USN-443-1
Referência no Mandriva: MDKSA-
Referência no Gentoo: GLSA 20070327/squid Referência no Mandriva: MDKSA-
Um erro de formatação de cadeia de caracteres na função write_html() em calendar/gui/e-cal-component-memopreview.c, ao exibir as categorias de
uma nota, pode ser explorado para executar código arbitrário através de uma nota compartilhada especialmente criada contendo especificadores de formato. (CVE-20071002) ■ Referência no Mandriva: MDKSA2007:070 Referência no Ubuntu: USN-442-1
2007:069 Referência no Ubuntu: USN-438-1
➧ NAS
Foram descobertos vários problemas no daemon do NAS (Network Audio System). Agressores remotos podem enviar requisições de rede especialmente criadas, de forma a causar uma negação de serviço ou a execução de código arbitrário. (CVE-2007-1543, CVE-2007-1544, CVE-2007-1545, CVE-2007-1546, CVE2007-1547 ) ■ Referência no Mandriva: MDKSA2007:065
➧ Firefox
Referência no Ubuntu: USN-446-1
Uma falha foi descoberta na forma como o Firefox, um navegador web de código aberto, lidava com respostas PASV de FTP. Se um usuário for enganado de forma a visitar um servidor FTP
➧ Inkscape
Foi descoberta uma falha no uso que o Inkscape, um aplicativo de desenho vetorial de código aber-
➧ Apache JK Tomcat Connector O Apache Tomcat Connector (mod_ jk) contém uma vulnerabilidade de estouro de buffer que poderia resultar na execução remota de código arbitrário. Um agressor remoto pode enviar uma requisição de URL longa para um servidor Apache, o que pode acionar a vulnerabilidade e levar a um estouro de inteiros baseado em pilha, resultando, assim, na execução de código arbitrário. (CVE-20070774) ■ Referência no Gentoo: GLSA 20070316/mod_jk
Postura das principais distribuições Linux quanto à segurança Referência de Segurança
Comentários
Debian
Info: www.debian.org/security Lista: lists.debian.org/debian-security-announce Referência: DSA-… 1
Alertas de segurança recentes são colocados na homepage e distribuídos como arquivos HTML com links para os patches. O anúncio também contém uma referência à lista de discussão.
Gentoo
Info: www.gentoo.org/security/en/glsa Fórum: forums.gentoo.org Lista: www.gentoo.org/main/en/lists.xml Referência: GLSA: … 1
Os alertas de segurança são listados no site de segurança da distribuição, com link na homepage. São distribuídos como páginas HTML e mostram os comandos necessários para baixar versões corrigidas dos softwares afetados.
Mandriva
Info: www.mandriva.com/security Lista: www1.mandrdrivalinux.com/en/flists.php3#2security Referência: MDKSA-… 1
A Mandriva tem seu próprio site sobre segurança. Entre outras coisas, inclui alertas e referência a listas de discussão. Os alertas são arquivos HTML, mas não há links para os patches.
Red Hat
Info: www.redhat.com/errata Lista: www.redhat.com/mailing-lists Referência: RHSA-… 1
A Red Hat classifica os alertas de segurança como “Erratas”. Problemas com cada versão do Red Hat Linux são agrupados. Os alertas são distribuídos na forma de páginas HTML com links para os patches.
Slackware
Info: www.slackware.com/security Lista: www.slackware.com/lists (slackware-security) Referência: [slackware-security] … 1
A página principal contém links para os arquivos da lista de discussão sobre segurança. Nenhuma informação adicional sobre segurança no Slackware está disponível.
Suse
Info: www.novell.com/linux/security Lista: www.novell.com/linux/download/updates Referência: suse-security-announce Referência: SUSE-SA … 1
Após mudanças no site, não há mais um link para a página sobre segurança, contendo informações sobre a lista de discussão e os alertas. Patches de segurança para cada versão do Suse são mostrados em vermelho na página de atualizações. Uma curta descrição da vulnerabilidade corrigida pelo patch é fornecida.
1 Todas as distribuições indicam, no assunto da mensagem, que o tema é segurança.
Linux Magazine #31 | Junho de 2007
17