From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <horohorinev@mail.ru>
Date: Thu, 12 Dec 2002 22:56:30 +0300
From: Genix <horohorinev@mail.ru>
To: Sarlug mailing list <sarlug@lug.ru>
Message-Id: <20021212225630.792872ab.horohorinev@mail.ru>
X-Mailer: Sylpheed version 0.8.6 (GTK+ 1.2.10; i586-alt-linux)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Subject: [Sarlug] Fw: , [security-announce] IA: new wget packages available
Sender: sarlug-admin@lug.ru
Errors-To: sarlug-admin@lug.ru
X-BeenThere: sarlug@lug.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: sarlug@lug.ru
List-Unsubscribe: <http://lug.ru/mailman/listinfo/sarlug>,
	<mailto:sarlug-request@lug.ru?subject=unsubscribe>
List-Id: Saratov Linux User Group Maillist <sarlug.lug.ru>
List-Post: <mailto:sarlug@lug.ru>
List-Help: <mailto:sarlug-request@lug.ru?subject=help>
List-Subscribe: <http://lug.ru/mailman/listinfo/sarlug>,
	<mailto:sarlug-request@lug.ru?subject=subscribe>
List-Archive: <http://lug.ru/pipermail/sarlug/>
Archived-At: <http://lore.altlinux.org/sarlug/20021212225630.792872ab.horohorinev@mail.ru/>
List-Archive: <http://lore.altlinux.org/sarlug/>
List-Post: <mailto:sarlug@lists.lug.ru>


Begin forwarded message:

Date: Thu, 12 Dec 2002 22:54:50 +0300
From: ALT Security Team <security@altlinux.org>
To: ALT Linux security announce list <security-announce-submit@altlinux.ru>
Subject: [security-announce] IA: new wget packages available


Как установил Steven M. Christey, многие реализации клиентов протокола FTP
все ещё содержат уязвимости в обработке абсолютных и/или относительных
путей (Directory Traversal Vulnerabilities), что позволяет потенциальному
злоумышленнику с помощью соответствующим образом модифицированного
FTP-сервера организовать атаки на такие FTP-клиенты с возможностью
перезаписи произвольных файлов в файловой системе на стороне клиента.

Один из протестированных автором анализа FTP-клиентов, входящих в том
числе и в состав дистрибутивов ALT Linux, GNU wget, оказался уязвимым
к двум из четырёх типов анализируемых ошибок.

Три других рассмотренных клиента, ftp, lftp и lynx, не подвержены этим
уязвимостям.

С подробной информацией о найденных уязвимостях можно ознакомится по
адресам:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1344
http://marc.theaimsgroup.com/?l=bugtraq&m=87602746719482

Мы рекомендуем всем пользователям wget произвести обновление до версий
пакетов, в которых указанные уязвимости исправлены.

Обновления для дистрибутивов ALT Linux доступны по следующим адресам:

+ Для дистрибутива Linux-Mandrake RE Spring 2001:
ftp://updates.altlinux.com/Spring2001/SRPMS/wget-1.8.2-alt2.1.src.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/wget-1.8.2-alt2.1.i586.rpm

+ Для бета-версии дистрибутива ALT Linux Castle:
ftp://updates.altlinux.com/Castle/SRPMS/wget-1.8.2-alt2.1.src.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/wget-1.8.2-alt2.1.i586.rpm

+ Для дистрибутива ALT Linux Master 2.0:
ftp://updates.altlinux.com/Master/2.0/SRPMS/wget-1.8.2-alt2.1.src.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/wget-1.8.2-alt2.1.i586.rpm

+ Для дистрибутивов ALT Linux Junior 2.0 и ALT Linux Junior 2.1 HomePC Edition:
ftp://updates.altlinux.com/Junior/2.0/SRPMS/wget-1.8.2-alt2.1.src.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/wget-1.8.2-alt2.1.i586.rpm

+ Для пользователей репозитария ALT Linux Sisyphus обновления доступны обычным образом.

Обновление можно проводить автоматически с помощью apt-get, как по
адресам, приведённым выше, так и по адресам зеркал, приведённых по адресу
http://www.altlinux.ru/index.php?module=download


--
ALT Security Team



-- 
Best regards, Genix.			mailto: genix@sendmail.ru
Registered Linux User #219993		http://saratov.lug.ru