dcsimg
Linux Today: Linux News On Internet Time.




More on LinuxToday


Conectiva Linux Security Announcement - gnorpm

Oct 03, 2000, 19:37 (0 Talkback[s])

Date: Tue, 3 Oct 2000 11:28:02 -0300
From: secure@CONECTIVA.COM.BR
To: BUGTRAQ@SECURITYFOCUS.COM
Subject: Conectiva Linux Security Announcement - gnorpm


CONECTIVA LINUX SECURITY ANNOUNCEMENT


PACKAGE   : gnorpm
SUMMARY   : Insecure use of /tmp
DATE      : 2000-10-03 11:27:00
RELEVANT
RELEASES  : 4.0, 4.0es, 4.1, 4.2, 5.0, prg gráficos, ecommerce, 5.1

DESCRIPTION
Gnorpm versions prior to 0.95 use files in the /tmp dir in an insecure manner. If gnorpm is run as root, this vulnerability could lead to any file on the system being overwritten by gnorpm.

SOLUTION
All gnorpm users should upgrade. The updated package also fixes many other bugs besides the security problem. Different files are needed depending on the version of the distribution. Please check the URLs below for your specific version. Versions below 5.1 will need also to update the RPM package. This must be the first package to be updated. After it is installed, please run the following command as root:

rpm --rebuilddb

After this the other packages can be upgraded as usual.

We would like to thank Alan Cox for detecting the problem and making a new version available.

DIRECT DOWNLOAD LINKS TO THE UPDATED PACKAGES
ftp://atualizacoes.conectiva.com.br/4.0/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/libxml-1.8.9-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/libxml-devel-1.8.9-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/libxml-1.8.9-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/libxml-1.8.9-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/libxml-devel-1.8.9-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/libxml-1.8.9-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/rpm-3.0.4-9cl.src.rpm


All packages are signed with Conectiva's GPG key. The key can be obtained at http://www.conectiva.com.br/contato