[17186] in bugtraq
Conectiva Linux Security Announcement - mod_php3
daemon@ATHENA.MIT.EDU (secure@CONECTIVA.COM.BR)
Fri Oct 13 13:52:17 2000
Message-Id: <200010122146.SAA08164@distro.conectiva.com.br>
Date: Thu, 12 Oct 2000 18:46:03 -0300
Reply-To: secure@CONECTIVA.COM.BR
From: secure@CONECTIVA.COM.BR
X-To: lwn@lwn.net, security-alert@linuxsecurity.com,
linuxlist@securityportal.com
To: BUGTRAQ@SECURITYFOCUS.COM
-----------------------------------------------------------------------
CONECTIVA LINUX SECURITY ANNOUNCEMENT
-----------------------------------------------------------------------
PACKAGE : mod_php3
SUMMARY : Logging format string vulnerability
DATE : 2000-10-12 18:17:00
RELEVANT
RELEASES : 4.0, 4.0es, 4.1, 4.2, 5.0, prg graficos, ecommerce
----------------------------------------------------------------------
DESCRIPTION
Logging functions in PHP3 are vulnerable to format string attacks
that can lead to remote execution of arbitrary code. This
vulnerability can only be exploited if the logging functions are
enabled, which is *not* the default configuration for this package.
This vulnerability also affects PHP4, but it is not shipped in any
Conectiva Linux distribution as of this date.
SOLUTION
All PHP3 users should upgrade. Users of Conectiva Linux 4.0 will also
have to upgrade the imap package and install libxmltok, which are
included in this advisory as well.
We would like to thank Jouko Pynnvnen for reporting the problem and
the PHP developers for providing a new version.
This vulnerability was also independently discovered by @stake.
DIRECT DOWNLOAD LINKS TO THE UPDATED PACKAGES
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/mod_php3-3.0.17-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/imap-4.7c2-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/libxmltok-1.0-3cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-doc-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/mod_php3-xml-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/imap-4.7c2-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/imap-devel-4.7c2-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/libxmltok-1.0-3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/libxmltok-devel-1.0-3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/mod_php3-3.0.17-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/imap-4.7c2-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/libxmltok-1.0-3cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-doc-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/mod_php3-xml-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/imap-4.7c2-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/imap-devel-4.7c2-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/libxmltok-1.0-3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/libxmltok-devel-1.0-3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/mod_php3-3.0.17-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-doc-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-xml-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/mod_php3-3.0.17-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-doc-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-xml-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/mod_php3-3.0.17-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-doc-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-xml-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/mod_php3-3.0.17-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-doc-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/mod_php3-xml-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/mod_php3-3.0.17-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-doc-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/mod_php3-xml-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-gd-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-imap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-ldap-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-mysql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-pgsql-3.0.17-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/php3-cgi-xml-3.0.17-1cl.i386.rpm
----------------------------------------------------------------------
All packages are signed with Conectiva's GPG key. The key can be
obtained at http://www.conectiva.com.br/contato
----------------------------------------------------------------------
subscribe: atualizacoes-anuncio-subscribe@bazar.conectiva.com.br
unsubscribe: atualizacoes-anuncio-unsubscribe@bazar.conectiva.com.br
