[Fedora] Schwachstelle in tar – FEDORA-2010-4274

[Fedora] Schwachstelle in tar - FEDORA-2010-4274

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Das Remote Mag Tape Protokoll (rmt) ermoeglicht auf ein entferntes
Bandlaufwerk ueber rsh/ssh zuzugreifen. Es kann auch dazu benutzt
werden, auf einem entfernten System Dateien mit Tar/Cpio direkt zu
extrahieren.

CVE-2010-0624 – Heap Overflow in der Funktion rmt_read__()in GNU Tar und
GNU Cpio

Die Implementation des remote mag tape protocol (rmt) in GNU Tar vor
Version 1.23 und GNU Cpio vor Version 2.11 filtert Benutzereingaben
nicht korrekt und in der Funktion rmt_read__() (aus:lib/rtapelib.c)
kann ein heap-basierter Buffer Overflow ausgeloest werden. Ein
entfernter Angreifer kann diese Schwachstelle ausnutzen um beliebige
Befehle mit den Rechten des Benutzers zur Ausfuehrung zu bringen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket tar

Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-March/037251.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-4274
2010-03-11 13:21:29
– ——————————————————————————–

Name : tar
Product : Fedora 13
Version : 1.22
Release : 16.fc13
URL : http://www.gnu.org/software/tar/
Summary : A GNU file archiving program
Description :
The GNU tar program saves many files together in one archive and can
restore individual files (or all of the files) from that archive. Tar
can also be used to add supplemental files to an archive and to update
or list files in the archive. Tar includes multivolume support,
automatic archive compression/decompression, the ability to perform
remote archives, and the ability to perform incremental and full
backups.

If you want to use tar for remote backups, you also need to install
the rmt package.

– ——————————————————————————–
Update Information:

– – CVE-2010-0624 tar, cpio: Heap-based buffer overflow by expanding a
specially-crafted archive (#572149) – realloc within check_exclusion_tags()
caused invalid write (#570591) – not closing file descriptors for excluded
files/dirs with exlude-tag… options could cause descriptor exhaustion
(#570591)
– ——————————————————————————–
References:

[ 1 ] Bug #564368 – CVE-2010-0624 tar, cpio: Heap-based buffer overflow by expanding a specially-crafted archive
https://bugzilla.redhat.com/show_bug.cgi?id=564368
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update tar’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLnjKdWmhIvjFb90URAh7wAJ4j22jLLoIvcgFGM7fRMIcZI3B6egCfSN4j
970LctqlEX9FIBDMYUthzBE=
=tGJU
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben