Boletim 004/96 da Lista de Seguranca da Pangeia Informatica

27 de Agosto de 1996

Tópico: Vulnerabilidade em Pine3.9[1-4]

Verificada uma vulnerabilidade no programa Pine, que permite a leitura
de mails e news em ambiente Unix, OS/2 e DOS.
Esta vulnerabiliade permite a um usuário local obter acesso a conta de
qualquer usuário quando da execução do programa Pine, inclusive o root.

1. Impacto:

Foi observada uma falha no leitor de mail e news Pine, em relação a
criação de arquivos temporários. Permitindo que um usuário obtenha
acesso, (privilegiado ou não) dependendo do usuário que vier a executar
o programa Pine.

2. Solução:

Esta vulnerabilidade ocorrerá em todas as plataformas Unix onde o Pine
versoes 3.91, 3.92, 3.93 e 3.94 tiver sido compilado.

A versao 3.95 corrige este problema.

O pacote pine-3.95 está disponível em:
ftp://ftp.pangeia.com.br/pub/seg/pac/pine-3.95.ELF.tgz
ftp://ftp.pangeia.com.br/pub/seg/pac/pine3.95.tar.gz

3. Informações adicionais:

Assinatura dos arquivos usando o utilitário md5: