[Fedora] Schwachstelle in GNU tar/cpio – FEDORA-2010-4267

[Fedora] Schwachstelle in GNU tar/cpio - FEDORA-2010-4267

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-0624 – Heap Overflow in der Funktion rmt_read__()in GNU Tar und
GNU Cpio

Die Implementation des remote mag tape protocol (rmt) in GNU Tar vor
Version 1.23 und GNU Cpio vor Version 2.11 filtert Benutzereingaben
nicht korrekt und in der Funktion rmt_read__() (aus:lib/rtapelib.c)
kann ein heap-basierter Buffer Overflow ausgeloest werden. Ein
entfernter Angreifer kann diese Schwachstelle ausnutzen um beliebige
Befehle mit den Rechten des Benutzers zur Ausfuehrung zu bringen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket cpio

Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-March/037582.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-4267
2010-03-11 13:21:13
– ——————————————————————————–

Name : cpio
Product : Fedora 13
Version : 2.10
Release : 6.fc13
URL : http://www.gnu.org/software/cpio/
Summary : A GNU archiving program
Description :
GNU cpio copies files into or out of a cpio or tar archive. Archives
are files which contain a collection of other files plus information
about them, such as their file name, owner, timestamps, and access
permissions. The archive can be another file on the disk, a magnetic
tape, or a pipe. GNU cpio supports the following archive formats: binary,
old ASCII, new ASCII, crc, HPUX binary, HPUX old ASCII, old tar and POSIX.1
tar. By default, cpio creates binary format archives, so that they are
compatible with older cpio programs. When it is extracting files from
archives, cpio automatically recognizes which kind of archive it is reading
and can read archives created on machines with a different byte-order.

Install cpio if you need a program to manage file archives.

– ——————————————————————————–
Update Information:

– – CVE-2010-0624 fix heap-based buffer overflow by expanding a specially-
crafted archive(#572150)
– ——————————————————————————–
References:

[ 1 ] Bug #564368 – CVE-2010-0624 tar, cpio: Heap-based buffer overflow by expanding a specially-crafted archive
https://bugzilla.redhat.com/show_bug.cgi?id=564368
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update cpio’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLp1CZWmhIvjFb90URArFYAKCUFUgJ2nztmWoSV4svKxaPlLuUcgCfULtf
oG7/GH6vWusy3OlmIvkQhHs=
=VFCY
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben