[LWN Logo]
[Timeline]
Date: Thu, 10 Aug 2000 14:49:16 -0300
From: Sergio Bruder <bruder@conectiva.com.br>
To: lwn@lwn.net, sergio@bruder.net, brain@matrix.com.br,
Subject: Conectiva Linux security announcemente - PERL

Reply-To: 
----------------------------------------------------------------------
CONECTIVA LINUX SECURITY ANNOUNCEMENT
----------------------------------------------------------------------

PACKAGE : perl
SUMMARY : Local root exploit
DATE    : 2000-08-10
AFFECTED CONECTIVA VERSIONS : 4.0, 4.0es, 4.1, 4.2, 5.0, 5.1, e-commerce
                              and graphic tools


DESCRIPTION
sperl, shipped with the perl package, is a SUID root program that, under
certain conditions, uses /bin/mail to send out a warning. This is done
in an insecure manner and can be exploited to obtain root privileges.


SOLUTION
All users should upgrade immediately. The new package:
- no longer has sperl SUID root. Users requiring this feature should
  manually enable the SUID bit.
- no longer sends out an email under those conditions.
Users of Conectiva Linux 5.0, e-commerce and graphic tools should also
install the perl-MD5 package, since the new perl package does not
contain this module. Users of other versions already have the perl-MD5
package.


DIRECT DOWNLOAD LINKS TO UPDATED PACKAGES
ftp://atualizacoes.conectiva.com.br/4.0/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/perl-MD5-1.7-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/perl-MD5-1.7-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/perl-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/perl-doc-5.00503-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/perl-MD5-1.7-6cl.i386.rpm


DIRECT LINK TO THE SOURCE PACKAGES
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/perl-MD5-1.7-6cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/perl-MD5-1.7-6cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/perl-5.00503-8cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/perl-MD5-1.7-6cl.src.rpm


----------------------------------------------------------------------

All packages are signed with Conectiva's GPG key. The key can be obtained at
http://www.conectiva.com.br/conectiva/contato.html

----------------------------------------------------------------------
subscribe: atualizacoes-anuncio-subscribe@bazar.conectiva.com.br
unsubscribe: atualizacoes-anuncio-unsubscribe@bazar.conectiva.com.br