[17026] in bugtraq
Conectiva Linux Security Announcement - gnorpm
daemon@ATHENA.MIT.EDU (secure@CONECTIVA.COM.BR)
Tue Oct 3 14:21:01 2000
Message-Id: <200010031428.LAA05070@distro.conectiva.com.br>
Date: Tue, 3 Oct 2000 11:28:02 -0300
Reply-To: secure@CONECTIVA.COM.BR
From: secure@CONECTIVA.COM.BR
X-To: lwn@lwn.net, security-alert@linuxsecurity.com,
linuxlist@securityportal.com
To: BUGTRAQ@SECURITYFOCUS.COM
-----------------------------------------------------------------------
CONECTIVA LINUX SECURITY ANNOUNCEMENT
-----------------------------------------------------------------------
PACKAGE : gnorpm
SUMMARY : Insecure use of /tmp
DATE : 2000-10-03 11:27:00
RELEVANT
RELEASES : 4.0, 4.0es, 4.1, 4.2, 5.0, prg graficos, ecommerce, 5.1
----------------------------------------------------------------------
DESCRIPTION
Gnorpm versions prior to 0.95 use files in the /tmp dir in an
insecure manner. If gnorpm is run as root, this vulnerability could
lead to any file on the system being overwritten by gnorpm.
SOLUTION
All gnorpm users should upgrade. The updated package also fixes many
other bugs besides the security problem.
Different files are needed depending on the version of the
distribution. Please check the URLs below for your specific version.
Versions below 5.1 will need also to update the RPM package. This
must be the first package to be updated. After it is installed,
please run the following command as root:
rpm --rebuilddb
After this the other packages can be upgraded as usual.
We would like to thank Alan Cox for detecting the problem and making
a new version available.
DIRECT DOWNLOAD LINKS TO THE UPDATED PACKAGES
ftp://atualizacoes.conectiva.com.br/4.0/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/libxml-1.8.9-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/libxml-devel-1.8.9-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/libxml-1.8.9-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/libxml-1.8.9-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/libxml-devel-1.8.9-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/libxml-1.8.9-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/rpm-3.0.4-9cl.src.rpm
----------------------------------------------------------------------
All packages are signed with Conectiva's GPG key. The key can be
obtained at http://www.conectiva.com.br/contato
----------------------------------------------------------------------
subscribe: atualizacoes-anuncio-subscribe@bazar.conectiva.com.br
unsubscribe: atualizacoes-anuncio-unsubscribe@bazar.conectiva.com.br
