[LWN Logo]
[Timeline]
Date:         Sat, 23 Sep 2000 18:14:42 -0300
Subject:      Conectiva Linux Security Announcement - imp
To: BUGTRAQ@SECURITYFOCUS.COM

-----------------------------------------------------------------------
CONECTIVA LINUX SECURITY ANNOUNCEMENT
-----------------------------------------------------------------------

PACKAGE   : imp
SUMMARY   : Remote command execution
DATE      : 2000-09-23 18:14:00
RELEVANT
RELEASES  : 4.1, 4.2, 5.0, 5.1

----------------------------------------------------------------------

DESCRIPTION
 There are several vulnerabilities in the horde and imp packages
 shipped with Conectiva Linux that allow an user to execute remote
 commands on the server as the user "nobody".


SOLUTION
 All IMP and/or HORDE users should upgrade immediately.
 This is a major update and some issues must be observed:
 - horde now comes in four packages, a main one and three others.
 Users have to choose which type of backend they want to use to store
 user sessions: shared memory, MySQL or Postgresql, and install the
 appropriate package;
 - if shared memory is choosen, php3 must also be ugraded, since our
 previous php3 releases did not include shared memory support;
 - Conectiva Linux 4.1 and 4.2 will also need apache-1.3.12 and the
 new php3 packages in order to use the new imp and horde packages.
 Please read the included documentation in each package for further
 details and configuration instructions.

 Source packages are not listed below, but are also available under
 the SRPMS directory.


DIRECT DOWNLOAD LINKS TO THE UPDATED PACKAGES
ftp://atualizacoes.conectiva.com.br/4.1/noarch/horde-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/4.1/noarch/horde-mysql-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/4.1/noarch/horde-pgsql-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/4.1/noarch/horde-shm-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/4.1/noarch/imp-2.2.2-1cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-doc-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-gd-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-imap-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-ldap-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-mysql-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-pgsql-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mod_php3-xml-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/apache-1.3.12-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/apache-devel-1.3.12-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/apache-doc-1.3.12-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/noarch/horde-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/4.2/noarch/horde-mysql-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/4.2/noarch/horde-pgsql-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/4.2/noarch/horde-shm-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/4.2/noarch/imp-2.2.2-1cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-doc-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-gd-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-imap-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-ldap-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-mysql-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-pgsql-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mod_php3-xml-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/apache-1.3.12-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/apache-devel-1.3.12-8cl.i386.rpmftp
ftp://atualizacoes.conectiva.com.br/4.2/i386/apache-doc-1.3.12-8cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/noarch/horde-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/5.0/noarch/horde-mysql-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/5.0/noarch/horde-pgsql-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/5.0/noarch/horde-shm-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/5.0/noarch/imp-2.2.2-1cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-doc-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-gd-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-imap-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-ldap-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-mysql-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-pgsql-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mod_php3-xml-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/noarch/horde-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/5.1/noarch/horde-mysql-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/5.1/noarch/horde-pgsql-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/5.1/noarch/horde-shm-1.2.2-2cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/5.1/noarch/imp-2.2.2-1cl.noarch.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/mod_php3-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/mod_php3-doc-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/mod_php3-gd-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/mod_php3-imap-3.0.16-6cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/mod_php3-ldap-3.0.16-6cl.i386.rpm


----------------------------------------------------------------------

All packages are signed with Conectiva's GPG key. The key can be
obtained at http://www.conectiva.com.br/contato

----------------------------------------------------------------------
subscribe: atualizacoes-anuncio-subscribe@bazar.conectiva.com.br
unsubscribe: atualizacoes-anuncio-unsubscribe@bazar.conectiva.com.br