Boletim
004/96 da Lista de Seguranca da Pangeia Informatica
27
de Agosto de 1996
Tópico:
Vulnerabilidade em Pine3.9[1-4]
Verificada uma vulnerabilidade no programa Pine,
que permite a leitura
de mails e news em ambiente Unix, OS/2 e DOS.
Esta vulnerabiliade permite a um usuário local
obter acesso a conta de
qualquer usuário quando da execução do programa
Pine, inclusive o root.
1. Impacto:
Foi observada uma falha no leitor de mail e news
Pine, em relação a
criação de arquivos temporários. Permitindo que
um usuário obtenha
acesso, (privilegiado ou não) dependendo do usuário
que vier a executar
o programa Pine.
2. Solução:
Esta vulnerabilidade ocorrerá em todas as plataformas
Unix onde o Pine
versoes 3.91, 3.92, 3.93 e 3.94 tiver sido compilado.
A versao 3.95 corrige este problema.
O pacote pine-3.95 está disponível em:
ftp://ftp.pangeia.com.br/pub/seg/pac/pine-3.95.ELF.tgz
ftp://ftp.pangeia.com.br/pub/seg/pac/pine3.95.tar.gz
3. Informações adicionais:
Assinatura dos arquivos usando o utilitário md5: