From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <horohorinev@mail.ru>
Date: Tue, 1 Oct 2002 23:13:59 +0400
From: =?KOI8-R?B?5dfHxc7JyiD3LiDoz9LPyM/Syc4=?= <horohorinev@mail.ru>
To: Sarlug mailing list <sarlug@lug.ru>
Message-Id: <20021001231359.789581ae.horohorinev@mail.ru>
X-Mailer: Sylpheed version 0.8.0 (GTK+ 1.2.10; i586-alt-linux)
Mime-Version: 1.0
Content-Type: multipart/mixed;
 boundary="Multipart_Tue__1_Oct_2002_23:13:59_+0400_0826e710"
Subject: [Sarlug] Fw: [security-announce] IA: new tar and unzip packages available
Sender: sarlug-admin@lug.ru
Errors-To: sarlug-admin@lug.ru
X-BeenThere: sarlug@lug.ru
X-Mailman-Version: 2.0.13
Precedence: bulk
Reply-To: sarlug@lug.ru
List-Unsubscribe: <http://lug.ru/mailman/listinfo/sarlug>,
	<mailto:sarlug-request@lug.ru?subject=unsubscribe>
List-Id: <sarlug.lug.ru>
List-Post: <mailto:sarlug@lug.ru>
List-Help: <mailto:sarlug-request@lug.ru?subject=help>
List-Subscribe: <http://lug.ru/mailman/listinfo/sarlug>,
	<mailto:sarlug-request@lug.ru?subject=subscribe>
List-Archive: <http://lug.ru/pipermail/sarlug/>
Archived-At: <http://lore.altlinux.org/sarlug/20021001231359.789581ae.horohorinev@mail.ru/>
List-Archive: <http://lore.altlinux.org/sarlug/>
List-Post: <mailto:sarlug@lists.lug.ru>

This is a multi-part message in MIME format.

--Multipart_Tue__1_Oct_2002_23:13:59_+0400_0826e710
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit



Begin forwarded message:

Date: Tue, 1 Oct 2002 16:50:34 +0400
From: ALT Security Team <security@altlinux.org>
To: ALT Linux security announce list <security-announce-submit@altlinux.ru>
Subject: [security-announce] IA: new tar and unzip packages available


Обнаружена уязвимость в некоторых версиях архиваторов tar и unzip.

Реализация алгоритма обхода файлового дерева в tar < 1.13.25-alt1 и
unzip <= 5.42 при распаковке архива не проверяет в достаточной степени
входные данные, что с помощью файловых архивов специального вида может
быть использовано потенциальным злоумышленником для получения доступа к
произвольным файлам файловой системы с правами процесса, выполняющего
распаковку архива.

С более подробной информацией на эту тему можно ознакомится по адресу
http://online.securityfocus.com/archive/1/293544/2002-09-28/2002-10-04/0

Мы рекомендуем всем пользователям уязвимых версий tar и unzip обновить
пакеты до исправленных версий.

Обновления для дистрибутивов ALT Linux доступны по следующим адресам:

+ Для дистрибутива Linux-Mandrake RE Spring 2001:
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Spring2001/SRPMS/tar-1.13.25-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Spring2001/SRPMS/unzip-5.50-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Spring2001/i586/RPMS/tar-1.13.25-alt1.1.i586.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Spring2001/i586/RPMS/unzip-5.50-alt1.1.i586.rpm

+ Для бета-версии дистрибутива ALT Linux Castle:
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Castle/SRPMS/tar-1.13.25-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Castle/SRPMS/unzip-5.50-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Castle/i586/RPMS/tar-1.13.25-alt1.1.i586.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Castle/i586/RPMS/unzip-5.50-alt1.1.i586.rpm

+ Для дистрибутива ALT Linux MSI Edition 1.1:
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/MSI/SRPMS/tar-1.13.25-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/MSI/SRPMS/unzip-5.50-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/MSI/i586/RPMS/tar-1.13.25-alt1.1.i586.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/MSI/i586/RPMS/unzip-5.50-alt1.1.i586.rpm

+ Для дистрибутива ALT Linux Junior 1.1:
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Junior/SRPMS/tar-1.13.25-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Junior/SRPMS/unzip-5.50-alt1.1.src.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Junior/i586/RPMS/tar-1.13.25-alt1.1.i586.rpm
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/updates/Junior/i586/RPMS/unzip-5.50-alt1.1.i586.rpm

+ Дистрибутивы ALT Linux Master 2.0, ALT Linux Junior 2.0, а также
репозитарий ALT Linux Sisyphus содержат версии программ tar и unzip, не
подверженные уязвимости, о которой шла речь выше.

Обновление можно производить автоматически с помощью apt-get.


--
ALT Security Team



-- 
Вот возьму я всех и брошу, потому что я ХОРОШИЙ!


--Multipart_Tue__1_Oct_2002_23:13:59_+0400_0826e710
Content-Type: application/pgp-signature;
 name="00000001.mimetmp"
Content-Disposition: attachment;
 filename="00000001.mimetmp"
Content-Transfer-Encoding: base64

LS0tLS1CRUdJTiBQR1AgU0lHTkFUVVJFLS0tLS0KVmVyc2lvbjogR251UEcgdjEuMC43IChHTlUv
TGludXgpCgppRDhEQlFFOW1ab1pXME02RHVySkhLQVJBdVYrQUtEWVhtQW1ZTGQ4Nlo5NGxJWDha
RXIxRHVmMFFRQ2VPOEhrCjNBeFlmOTBaYVprZzFJYzhJZkZXaWtRPQo9bHJWUwotLS0tLUVORCBQ
R1AgU0lHTkFUVVJFLS0tLS0KCg==

--Multipart_Tue__1_Oct_2002_23:13:59_+0400_0826e710--