—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
Bournal ist ein Bash-Skript, das verwendet werden kann, um ein
persoenliches, verschluesseltes Tagebuch zu fuehren.
CVE-2010-0119 – Preisgabe des Schluessels in Bournal
Wird bei Bournal die Option -K verwendet, wird der ccrypt-Schluessel
direkt in dem Kommandozeilenaufruf aufgenommen. Ein lokaler Angreifer
kann diesen der Prozessliste entnehmen und dadurch Zugang zu den Daten
des Tagebuchs erlangen.
CVE-2010-0118 – Fehler durch temporaere Dateien in Bournal
Werden bei Bournal vor Version 1.4.1 Aenderungen mit der Option
–hack_the_gibson gesucht, kann ein lokaler Angreifer beliebige
Dateien, auf die der Bournal-Benutzer Schreibrechte hat,
ueberschreiben. Ursache ist das Anlegen temporaerer Dateien auf
unsichere Weise, wodurch ein Angreifer die Datei durch einen Symlink
auf eine andere Datei ersetzen kann.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket bournal
Fedora 11
Fedora 12
Fedora 13
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-March/036697.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-March/036701.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-March/036764.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Jens Grabarske
– —
Jens Grabarske (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-3168
2010-03-01 01:36:49
– ——————————————————————————–
Name : bournal
Product : Fedora 13
Version : 1.4.1
Release : 1.fc13
URL : http://becauseinter.net/bournal/
Summary : Write personal, password-protected journal entries
Description :
Bournal is a bash script that allows you to keep a personal,
minimalistic, password-protected journal, log, or diary. It
includes encryption, regexp searches, and a date-sorted list
for editing old entries. Since Bournal is pure bash, it should
be easily editable for the CLI-savvy.
– ——————————————————————————–
Update Information:
* Sat Feb 27 2010 Fabian Affolter
Updated URL and source URL – Updated to new upstream version 1.4.1 to fix
#568440 CVE-2010-0118, CVE-2010-0119
– ——————————————————————————–
References:
[ 1 ] Bug #568440 – CVE-2010-0118, CVE-2010-0119 bournal: updated version 1.4.1 fixes two vulnerabilities
https://bugzilla.redhat.com/show_bug.cgi?id=568440
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update bournal’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFLll8IWmhIvjFb90URAmIlAJ9Xge76riQcrD1n7QIvFSb74yqrewCfb8ky
08jQyj8Y++vZKoE4Wlb77bw=
=xrGD
—–END PGP SIGNATURE—–
