5591785 2000-10-13 20:25 /172 rader/ Brevbäraren (som är implementerad i) Python Mottagare: Bugtraq (import) <13255> Ärende: Conectiva Linux Security Announcement - mod_php3 ------------------------------------------------------------ From: secure@CONECTIVA.COM.BR To: BUGTRAQ@SECURITYFOCUS.COM Message-ID: <200010122146.SAA08164@distro.conectiva.com.br> ----------------------------------------------------------------------- CONECTIVA LINUX SECURITY ANNOUNCEMENT ----------------------------------------------------------------------- PACKAGE : mod_php3 SUMMARY : Logging format string vulnerability DATE : 2000-10-12 18:17:00 RELEVANT RELEASES : 4.0, 4.0es, 4.1, 4.2, 5.0, prg gráficos, ecommerce ---------------------------------------------------------------------- DESCRIPTION Logging functions in PHP3 are vulnerable to format string attacks that can lead to remote execution of arbitrary code. This vulnerability can only be exploited if the logging functions are enabled, which is *not* the default configuration for this package. This vulnerability also affects PHP4, but it is not shipped in any Conectiva Linux distribution as of this date. SOLUTION All PHP3 users should upgrade. Users of Conectiva Linux 4.0 will also have to upgrade the imap package and install libxmltok, which are included in this advisory as well. We would like to thank Jouko Pynnönen for reporting the problem and the PHP developers for providing a new version. This vulnerability was also independently discovered by @stake. DIRECT DOWNLOAD LINKS TO THE UPDATED PACKAGES ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/mod_php3-3.0.17-1cl.src.rpm ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/imap-4.7c2-1cl.src.rpm ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/libxmltok-1.0-3cl.src.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-doc-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/imap-4.7c2-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/imap-devel-4.7c2-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/libxmltok-1.0-3cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0/i386/libxmltok-devel-1.0-3cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/mod_php3-3.0.17-1cl.src.rpm ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/imap-4.7c2-1cl.src.rpm ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/libxmltok-1.0-3cl.src.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-doc-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/imap-4.7c2-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/imap-devel-4.7c2-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/libxmltok-1.0-3cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.0es/i386/libxmltok-devel-1.0-3cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/mod_php3-3.0.17-1cl.src.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-doc-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/mod_php3-3.0.17-1cl.src.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-doc-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/mod_php3-3.0.17-1cl.src.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-doc-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/mod_php3-3.0.17-1cl.src.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-doc-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/mod_php3-3.0.17-1cl.src.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-doc-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm ---------------------------------------------------------------------- All packages are signed with Conectiva's GPG key. The key can be obtained at http://www.conectiva.com.br/contato ---------------------------------------------------------------------- subscribe: atualizacoes-anuncio-subscribe@bazar.conectiva.com.br unsubscribe: atualizacoes-anuncio-unsubscribe@bazar.conectiva.com.br (5591785) ------------------------------------------(Ombruten) 5592330 2000-10-13 22:51 /49 rader/ Brevbäraren (som är implementerad i) Python Mottagare: Bugtraq (import) <13261> Ärende: mod_php3 advisory did not include CL5.1 ------------------------------------------------------------ From: Andreas Hasenack <andreas@CONECTIVA.COM.BR> To: BUGTRAQ@SECURITYFOCUS.COM Message-ID: <20001013113934.J680@conectiva.com.br> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Our mod_php3 advisory sent out on October 12th incorrectly did not list Conectiva Linux 5.1 as vulnerable. Conectiva Linux 5.1 *is* also vulnerable to the mod_php3 problem reported in that advisory. Due to an operational error, it was not listed in that email, even though the fixed packages were already in our ftp area for that specific distro. The corrected advisory can be found at: http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000324 The correct URLs for Conectiva Linux 5.1 are reproduced below: ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/mod_php3-3.0.17-1cl.src.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/mod_php3-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/mod_php3-doc-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/mod_php3-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/mod_php3-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/mod_php3-xml-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/php3-cgi-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm ftp://atualizacoes.conectiva.com.br/5.1/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm We apologize for any problems this may have caused. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.3 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE55uac42jd0JmAcZARAl7pAKDMFSIzNSusG7NUKwaD5rTBoD+4eQCePP92 0p05tPOsfzdi3MhwvqXEK1g= =2lbB -----END PGP SIGNATURE----- (5592330) ------------------------------------------