debian e seguranca
Estou utilizando Debian 2.2.r2 e setado meu sourcers list para stable... algumas atualizacoes de seguranca foram baixadas e instaladas... mas o qpopper continua 2.53 o qual posui alguns furos.. eu queria saber porque a debian nao atualiza este pacote ja que ele possui furos Security Vulnerability Some versions of Qpopper are vulnerable to buffer overruns. Qpopper 2.41 and older can be used to obtain root access to your system. Qpopper 2.53 and older may permit an attacker who has access to a valid account to obtain a shell with group-id 'mail', potentially allowing read/write access to all mail.
Re: debian e seguranca
hau amigo! vc estava com o sources.list setado para o ftp.debian.org? eu acredito que tenha havido um problema com uma ligacao entre o queue principal e esse servidor que jah deve estar consertado... []s! On Thu, Mar 15, 2001 at 11:56:16AM -0300, Flavio Alberto wrote: > Estou utilizando Debian 2.2.r2 e setado meu sourcers list para stable... > algumas atualizacoes de seguranca foram baixadas e instaladas... mas o > qpopper continua 2.53 o qual posui alguns furos.. eu queria saber porque a > debian nao atualiza este pacote ja que ele possui furos > > Security Vulnerability > Some versions of Qpopper are vulnerable to buffer overruns. Qpopper 2.41 > and older can be used to obtain root access to your system. Qpopper 2.53 > and older may permit an attacker who has access to a valid account to obtain > a shell with group-id 'mail', potentially allowing read/write access to all > mail. > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > -- Gustavo Noronha Silva - kov /*** .''`. * http://www.metainfo.org/kov * : :' : * GPG Key: http://www.metainfo.org/kov/html/pgp.html * `. `'` * http://www.brainbench.com/transcript.jsp?pid=2448987 * `- ***/ Debian pgpaST5qbyD2A.pgp Description: PGP signature
Re: debian e seguranca
On Thu, 15 Mar 2001, Flavio Alberto wrote: > Estou utilizando Debian 2.2.r2 e setado meu sourcers list para stable... > algumas atualizacoes de seguranca foram baixadas e instaladas... mas o > qpopper continua 2.53 o qual posui alguns furos.. eu queria saber porque a > debian nao atualiza este pacote ja que ele possui furos o Debian o fez, sim! apesar de o qpopper do potato ser o 2.53, o changelog.Debian.gz diz: -- qpopper (2.53-5) frozen unstable; urgency=high * Fix YET ANOTHER security hole that makes it possible to get a shell, even with "group mail" priviliges. (closes: #64602, #64649, #64627). See http://www.securityfocus.com/vdb/bottom.html?vid=1242 See also http://www.digibel.org/~b0f/advisors/b0f5-Qpopper.txt -- ou seja, o pacote já foi corrigido; na verdade ele foi "back patched", isto é, a correção que saiu para a versão mais nova (2.5X | X > 3) foi aplicada na versão 2.53 do Debian. Isto é uma prática comum, já que releases "stable" não recebem novas versões de pacotes facilmente. quanto ao seu sources.list, aponte para o security pois é lá que todos os fixes de segurança são colocados: deb http://security.debian.org potato/updates main contrib non-free deb http://security.debian.org/debian-non-US potato/non-US main contrib non-free []s, Mario O.de Menezes"Many are the plans in a man's heart, but IPEN-CNEN/SP is the Lord's purpose that prevails" http://curiango.ipen.br/~mario Prov. 19.21
RE: debian e seguranca
On 15-Mar-2001 Flavio Alberto wrote: > Estou utilizando Debian 2.2.r2 e setado meu sourcers list para stable... > algumas atualizacoes de seguranca foram baixadas e instaladas... mas o > qpopper continua 2.53 o qual posui alguns furos.. eu queria saber porque a > debian nao atualiza este pacote ja que ele possui furos > > Security Vulnerability > Some versions of Qpopper are vulnerable to buffer overruns. Qpopper 2.41 > and older can be used to obtain root access to your system. Qpopper 2.53 > and older may permit an attacker who has access to a valid account to obtain > a shell with group-id 'mail', potentially allowing read/write access to all > mail. Coloque o security.debian.org em seu sources.list: deb http://security.debian.org/ stable/updates main Recomendo que você, e todo mundo que roda stable, assine também a lista [EMAIL PROTECTED] > > -- Carlos Laviola - ICQ 55799523 pub 1024D/3516D372 2000-06-05 Carlos Laviola <[EMAIL PROTECTED]> Key fingerprint = 3BE1 6591 C78C 2AA4 31DD AEEF 6406 0227 3516 D372 pgpCI9sqvya8H.pgp Description: PGP signature