Em Sat, Jul 14, 2001 at 02:19:25PM -0300, Edgard Lemos escreveu:
> "No Conectiva Linux e em algumas outras distribui��es, a diretiva
> "log file" padr�o n�o � vulner�vel a este ataque:
>
> log file = /var/log/samba/log.%m
>
> Solu��o
>
> Todos os usu�rios do pacote samba devem fazer a atualiza��o."
>
> Afinal de contas, � ou n�o � para fazer a atualiza��o no CL6.0? E se �,
Fa�a. Mas, se, por algum motivo, voc� n�o puder fazer a atualiza��o naquele
instante, procure por usos da macro %m no seu arquivo de configura��o e veja
se s�o vulner�veis. Imagine que "%m" seja substitu�do por "../../../tmp/x",
por exemplo, e que "/tmp/x" (ou /tmp/x.log se logfile for %m.log, ou seja,
vulner�vel) aponte (symlink) para algum arquivo sens�vel do
sistema.
> onde est� o pacote de atualiza��o espec�fico para conserto deste bug,
> que n�o ficou expl�cito na p�gina?
Um conjunto de pacotes espec�fico para cada distribui��o.
Assinantes em 16/07/2001: 2249
Mensagens recebidas desde 07/01/1999: 123136
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
