Ol� PessoALL.... Segue abaixo o mais recente an�ncio de seguran�a do Conectiva Linux... Admins, atualizem seus soft's.... ;-)
Sem mais, Andr� Luiz Rodrigues Ferreira [Network Analist/Programmer/Security Consulting] [EMAIL PROTECTED] - http://freecode.linuxsecurity.com.br "O melhor da vida � aprender muito mais do que j� se sabe...." ----- Original Message ----- From: <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Friday, November 02, 2001 5:42 PM Subject: [bos-br] [atualizacoes-anuncio] [CLA-2001:432] An�ncio de Seguran�a do Conectiva Linux - kernel > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > - ------------------------------------------------------------------------ - > AN�NCIO DE SEGURAN�A DO CONECTIVA LINUX > - ------------------------------------------------------------------------ - > > PACOTE : kernel > RESUMO : Vulnerabilidades no kernel > DATA : 2001-11-02 17:42:00 > AN�NCIO : CLA-2001:432 > EDI��ES : 5.0, prg graficos, ecommerce, 5.1, 6.0, 7.0 > > - ------------------------------------------------------------------------ - > > DESCRI��O DO PROBLEMA > Este an�ncio corrige diversas vulnerabilidades recentes do kernel do > sistema: > > 1) Rafal Wojtczuk reportou[1] duas vulnerabilidades[2][3] na s�rie > 2.2 e 2.4 do kernel do sistema. A primeira vulnerabilidade permite > que um atacante local obtenha privil�gios de root. Programas que > exploram esta vulnerabilidade j� foram publicados. > > 2) A segunda vulnerabilidade reportada por Rafal Wojtczuk permite que > um atacante local execute um ataque de nega��o de servi�o (DoS) > atrav�s da cria��o de diversos links simb�licos encadeados. Ao > executar este ataque, a m�quina ficaria completamente parada por um > tempo arbitr�rio escolhido pelo atacante. > > 3) A terceira vulnerabilidade foi descoberta por Manfred Spraul e > corresponde a uma falha remota no sistema de prote��o contra ataques > DoS do tipo synflood denominado syncookies. Explorando esta falha, um > atacante remoto pode contornar regras simples de firewall que negam > conex�es novas a um determinado servi�o (como verificar a flag SYN do > segmento TCP) e efetivamente abrir uma conex�o para esta porta > protegida *se* os syncookies estiverem habilitados e sendo enviados > pelo kernel (por exemplo, durante um ataque synflood) e n�o existir > outro tipo de restri��o como endere�o IP de origem, por exemplo. Por > causa dos syncookies n�o � necess�rio utilizar a flag SYN, mas o > atacante remoto precisar� acertar o valor do cookie usado pelo kernel > para conseguir criar a conex�o, e a �nica forma de fazer isso � usar > for�a bruta e pesquisar uma faixa de cerca de 2^24 (dois elevado � > pot�ncia 24) n�meros, algo em torno de 16 milh�es de valores. Em um > link r�pido (>2Mbps), por exemplo, isto pode ser conseguido em > algumas horas. > Em suma, com os syncookies habilitados e sendo enviados pelo kernel, > um atacante remoto pode abrir conex�es para portas protegidas por > regras simples de firewall, que checam apenas a flag SYN, mandando um > segmento ACK (que, por n�o ter a flag SYN setada, passa pela regra de > filtragem) com o cookie correto. > Para verificar se os syncookies est�o ativados, execute o comando: > > sysctl net.ipv4.tcp_syncookies > > Se eles estiverem habilitados, a resposta ser�: > > net.ipv4.tcp_syncookies = 1 > > Caso contr�rio, o resultado ser� zero. > Para desabilitar os syncookies, execute o seguinte comando como > root: > > sysctl -w net.ipv4.tcp_syncookies=0 > > Em vers�es da distribui��o onde n�o existe este comando, o > equivalente abaixo pode ser usado para desabilitar os syncookies: > > echo 0 > /proc/sys/net/ipv4/tcp_syncookies > > Para ler o valor atual: > > cat /proc/sys/net/ipv4/tcp_syncookies > > Note que qualquer altera��o ser� perdida num reboot. Para torn�-la > permanente, por favor edite o arquivo /etc/sysctl.conf. > O padr�o para o Conectiva Linux � ter os syncookies ativados. > > A corre��o para a terceira vulnerabilidade foi feita por Andi Kleen > com contribui��es de Dave Miller e Solar Designer. Agradecimentos > tamb�m a Marcus Meissner por seu �timo detalhamento do problema. > O an�ncio desta vulnerabilidade foi coordenado com diversas outras > distribui��es GNU/Linux. > > 4) Chris Wilson reportou[4] uma vulnerabilidade[5] no c�digo do > filtro de pacotes do kernel 2.4 com rela��o a endere�os MAC. � > poss�vel contornar as filtragens baseadas em endere�os MAC ao se > utilizar pacotes fragmentados. Esta vulnerabilidade tamb�m foi > descoberta de forma independente por Erick C. Jones[6] e Miklos > Szeredi[7]. > > Adicionalmente, esta atualiza��o tamb�m corrige um problema n�o > relacionado � seguran�a. O driver "aacraid" agora pode ser usado com > a controladora Dell PowerEdge Expandable RAID Controller 3/Di. > > > SOLU��O > � recomendado que todos os usu�rios fa�am a atualiza��o do kernel. > > IMPORTANTE: n�o � poss�vel utilizar a ferramenta apt para fazer > atualiza��es do kernel. Os pacotes do kernel devem ser atualizados > manualmente. Instru��es gen�ricas para uma atualiza��o do kernel > podem ser obtidas em http://distro.conectiva.com.br/atualizacoes/ e > http://www.conectiva.com.br/suporte/pr/sistema.kernel.atualizar.html. > > Usu�rios do kernel 2.2 no Conectiva Linux 5.1, 6.0 e 7.0 devem > atualizar tamb�m o pacote drbd se ele estiver sendo usado. Este > pacote pode ser atualizado pelo apt normalmente. > > > REFER�NCIAS > 1. http://www.securityfocus.com/archive/1/221337 > 2. http://www.securityfocus.com/bid/3447 (ptrace) > 3. http://www.securityfocus.com/bid/3444 (symlink DoS) > 4. > http://lists.samba.org/pipermail/netfilter-devel/2001-August/002050.html > 5. http://www.securityfocus.com/bid/3418 (MAC netfilter) > 6. > http://lists.samba.org/pipermail/netfilter-devel/2001-August/002050.html > 7. > http://lists.samba.org/pipermail/netfilter-devel/2001-September/002278.html > > > PACOTES RPM > ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/kernel-2.2.19-25U50_2cl.src.rp m > ftp://atualizacoes.conectiva.com.br/5.0/i386/kernel-headers-2.2.19-25U50_2cl .i386.rpm > ftp://atualizacoes.conectiva.com.br/5.0/i386/kernel-smp-2.2.19-25U50_2cl.i38 6.rpm > ftp://atualizacoes.conectiva.com.br/5.0/i386/kernel-BOOT-2.2.19-25U50_2cl.i3 86.rpm > ftp://atualizacoes.conectiva.com.br/5.0/i386/kernel-ibcs-2.2.19-25U50_2cl.i3 86.rpm > ftp://atualizacoes.conectiva.com.br/5.0/i386/kernel-doc-2.2.19-25U50_2cl.i38 6.rpm > ftp://atualizacoes.conectiva.com.br/5.0/i386/kernel-source-2.2.19-25U50_2cl. i386.rpm > ftp://atualizacoes.conectiva.com.br/5.0/i386/kernel-2.2.19-25U50_2cl.i386.rp m > ftp://atualizacoes.conectiva.com.br/5.0/i586/kernel-smp-2.2.19-25U50_2cl.i58 6.rpm > ftp://atualizacoes.conectiva.com.br/5.0/i586/kernel-2.2.19-25U50_2cl.i586.rp m > ftp://atualizacoes.conectiva.com.br/5.0/i686/kernel-2.2.19-25U50_2cl.i686.rp m > ftp://atualizacoes.conectiva.com.br/5.0/i686/kernel-smp-2.2.19-25U50_2cl.i68 6.rpm > ftp://atualizacoes.conectiva.com.br/5.0/i686/kernel-enterprise-2.2.19-25U50_ 2cl.i686.rpm > ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/kernel-2.2.19-25U51_2cl.src.rp m > ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/drbd-utils-0.5.8-1U51_1cl.src. rpm > ftp://atualizacoes.conectiva.com.br/5.1/i386/kernel-smp-2.2.19-25U51_2cl.i38 6.rpm > ftp://atualizacoes.conectiva.com.br/5.1/i386/kernel-headers-2.2.19-25U51_2cl .i386.rpm > ftp://atualizacoes.conectiva.com.br/5.1/i386/kernel-source-2.2.19-25U51_2cl. i386.rpm > ftp://atualizacoes.conectiva.com.br/5.1/i386/kernel-ibcs-2.2.19-25U51_2cl.i3 86.rpm > ftp://atualizacoes.conectiva.com.br/5.1/i386/kernel-BOOT-2.2.19-25U51_2cl.i3 86.rpm > ftp://atualizacoes.conectiva.com.br/5.1/i386/kernel-doc-2.2.19-25U51_2cl.i38 6.rpm > ftp://atualizacoes.conectiva.com.br/5.1/i386/kernel-2.2.19-25U51_2cl.i386.rp m > ftp://atualizacoes.conectiva.com.br/5.1/i586/kernel-smp-2.2.19-25U51_2cl.i58 6.rpm > ftp://atualizacoes.conectiva.com.br/5.1/i586/kernel-2.2.19-25U51_2cl.i586.rp m > ftp://atualizacoes.conectiva.com.br/5.1/i686/kernel-smp-2.2.19-25U51_2cl.i68 6.rpm > ftp://atualizacoes.conectiva.com.br/5.1/i686/kernel-enterprise-2.2.19-25U51_ 2cl.i686.rpm > ftp://atualizacoes.conectiva.com.br/5.1/i686/kernel-2.2.19-25U51_2cl.i686.rp m > ftp://atualizacoes.conectiva.com.br/5.1/i386/drbd-utils-0.5.8-1U51_1cl.i386. rpm > ftp://atualizacoes.conectiva.com.br/5.1/i386/drbd-utils-heartbeat-0.5.8-1U51 _1cl.i386.rpm > ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/kernel-2.2.19-25U60_2cl.src.rp m > ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/drbd-utils-0.5.8-1U60_2cl.src. rpm > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/kernel-enterprise-2.2.19-25U60_ 2cl.i686.rpm > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/kernel-smp-2.2.19-25U60_2cl.i38 6.rpm > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/kernel-2.2.19-25U60_2cl.i586.rp m > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/kernel-headers-2.2.19-25U60_2cl .i386.rpm > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/kernel-smp-2.2.19-25U60_2cl.i68 6.rpm > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/kernel-2.2.19-25U60_2cl.i686.rp m > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/kernel-ibcs-2.2.19-25U60_2cl.i3 86.rpm > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/kernel-2.2.19-25U60_2cl.i386.rp m > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/kernel-BOOT-2.2.19-25U60_2cl.i3 86.rpm > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/kernel-doc-2.2.19-25U60_2cl.i38 6.rpm > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/kernel-smp-2.2.19-25U60_2cl.i58 6.rpm > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/kernel-source-2.2.19-25U60_2cl. i386.rpm > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/drbd-utils-0.5.8-1U60_2cl.i386. rpm > ftp://atualizacoes.conectiva.com.br/6.0/RPMS/drbd-utils-heartbeat-0.5.8-1U60 _2cl.i386.rpm > ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/kernel-2.2.19-25U70_2cl.src.rp m > ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/drbd-utils-0.5.8-1U70_2cl.src. rpm > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/drbd-utils-0.5.8-1U70_2cl.i386. rpm > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/drbd-utils-heartbeat-0.5.8-1U70 _2cl.i386.rpm > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/kernel-ibcs-2.2.19-25U70_2cl.i3 86.rpm > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/kernel-enterprise-2.2.19-25U70_ 2cl.i686.rpm > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/kernel-2.2.19-25U70_2cl.i586.rp m > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/kernel-smp-2.2.19-25U70_2cl.i68 6.rpm > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/kernel-smp-2.2.19-25U70_2cl.i38 6.rpm > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/kernel-2.2.19-25U70_2cl.i386.rp m > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/kernel-smp-2.2.19-25U70_2cl.i58 6.rpm > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/kernel-source-2.2.19-25U70_2cl. i386.rpm > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/kernel-2.2.19-25U70_2cl.i686.rp m > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/kernel-headers-2.2.19-25U70_2cl .i386.rpm > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/kernel-doc-2.2.19-25U70_2cl.i38 6.rpm > ftp://atualizacoes.conectiva.com.br/7.0/RPMS/kernel-BOOT-2.2.19-25U70_2cl.i3 86.rpm > > > INSTRU��ES ADICIONAIS > Usu�rios do Conectiva Linux 6.0 ou superior podem usar apt para fazer > atualiza��es de pacotes RPM: > - se a linha abaixo ainda n�o existir no arquivo /etc/apt/sources.list, > acrescente-a: > > rpm [cncbr] ftp://atualizacoes.conectiva.com.br vers�o/conectiva updates > > (substitua "vers�o" pela sua vers�o. Por exemplo, 7.0) > > - execute: apt-get update > - seguido por: apt-get upgrade > > Instru��es detalhadas de uso do apt e exemplos pr�ticos encontram-se em > http://distro.conectiva.com.br/atualizacoes/#apt > > - ------------------------------------------------------------------------ - > Todos os pacotes listados aqui tamb�m s�o assinados com a chave GPG da > Conectiva. A chave, bem como instru��es de como import�-la, pode ser > encontrada em http://distro.conectiva.com.br/seguranca/chave/. > Instru��es para checar a assinatura dos pacotes podem ser encontradas em > http://distro.conectiva.com.br/seguranca/politica/. > > - ------------------------------------------------------------------------ - > Todos os an�ncios de atualiza��es s�o armazenados e podem ser consultados > na p�gina http://distro.conectiva.com.br/atualizacoes/. > Instru��es gen�ricas para atualiza��es s�o fornecidas na mesma p�gina. > > - ------------------------------------------------------------------------ - > A Conectiva possui uma lista p�blica para discutir assuntos de seguran�a > relacionados � distribui��o. Acesse http://distro.conectiva.com.br/lista/ > para obter mais informa��es. > > - ------------------------------------------------------------------------ - > cadastramento: [EMAIL PROTECTED] > cancelamento: [EMAIL PROTECTED] > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.0.6 (GNU/Linux) > Comment: For info see http://www.gnupg.org > > iD8DBQE74vdC42jd0JmAcZARApiTAJ0Zc9yNIESmwb41k63MfQlvQk4TYgCfZqCi > SoKLfy4j/lMkyHZZE4FVrGk= > =aLZ3 > -----END PGP SIGNATURE----- > > Assinantes em 16/11/2001: 2373 Mensagens recebidas desde 07/01/1999: 141893 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
