—–BEGIN PGP SIGNED MESSAGE—–
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
Cobbler ist ein Install-Server fuer Linux, der es ermoeglicht,
automatisiert neue Instanzen von Linux auf Serversysteme zu
installieren.
Schwachstelle in Cobbler
Cobbler beinhaltet eine Schwachstelle im Web Frontend. Benutzer der
Web Oberflaeche von Cobbler koennen mittels der Cheetah Template
Engine Pythonmodule importieren, welche dann durch das Programm
ausgefuehrt werden. Diese Schwachstelle kann von Angreifern ausgenutzt
werden um beliebige Befehle mit Administratorrechten auszufuehren.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket cobbler
Fedora 10
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00789.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Andreas Bunten, DFN-CERT
– —
Andreas Bunten (Incident Response Team), +49 40 808077-555
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2008-10000
2008-11-22 14:49:56
– ——————————————————————————–
Name : cobbler
Product : Fedora 10
Version : 1.2.9
Release : 1.fc10
URL : http://cobbler.et.redhat.com
Summary : Boot server configurator
Description :
Cobbler is a network boot and update server. Cobbler
supports PXE, provisioning virtualized images, and
reinstalling existing Linux machines. The last two
modes require a helper tool called ‘koan’ that
integrates with cobbler. Cobbler’s advanced features
include importing distributions from DVDs and rsync
mirrors, kickstart templating, integrated yum
mirroring, and built-in DHCP/DNS Management. Cobbler has
a Python and XMLRPC API for integration with other
applications.
– ——————————————————————————–
Update Information:
Fixes a security vulnerability where a CobblerWeb user (if so configured) can
import a Python module via a web-edited Cheetah template and run commands as
root.
– ——————————————————————————–
ChangeLog:
* Fri Nov 14 2008 Michael DeHaan
– – Upstream changes (see CHANGELOG)
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update cobbler’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iQEVAwUBSSq7nEhXCWfrVVdXAQEYogf/Rr9r80aR/hFUBMbYpiC2dKyaqwMaDr6L
lkh+oP1ccEC/PLM/unMhfiR4N1n3Y0NCBimk9PaIf+zS/bB+5YL3o3q97sNeUBEF
XigIfmoTqsIevPeALPvYzjDgmOaJGbgglRyngn7IPyB763sANXPzLvK0+dBSCdW4
RGhXJHAx+WGWTm8EuCxXryE2iSBVhsib21RZZ1KpykfWBQuM/whxIiBGCK75i/RV
V8X4VAcPXWw7INFpotsozp3EVipRlx8OeMaDW3HgJtsfTz7jpJqGdQjtx65lQzAJ
5dBJ0eKxXs0knjtXcZgtn+lvVZAVIJAO7X5vME6VUkYzJLPUuwe5bA==
=GThw
—–END PGP SIGNATURE—–
