—–BEGIN PGP SIGNED MESSAGE—–
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2008-5620 – Schwachstelle in roundcubemail
Roundcubemail beinhaltet eine Schwachstelle beim Anlegen von
Quota-Images im Speicher, da die Werte zur Berechnung der Imagegroesse
nicht auf Plausibilitaet geprueft werden. Ein lokaler Angreifer kann
durch Manipulation der Groessenparameter beliebig grosse Images im
Speicher anlegen lassen, was zu einem Absturz des Programms durch
verbrauchten Hauptspeicher fuehrt. (Denial of Service)
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket roundcubemail
Fedora 8
Fedora 9
Fedora 10
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01021.html
https://www.redhat.com/archives/fedora-package-announce/2008-December/msg00995.html
https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01043.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —
Michael Groening (Incident Response Team), +49 40 808077-555
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2008-11456
2008-12-21 00:42:09
– ——————————————————————————–
Name : roundcubemail
Product : Fedora 10
Version : 0.2
Release : 5.beta.fc10
URL : http://www.roundcube.net
Summary : Round Cube Webmail is a browser-based multilingual IMAP client
Description :
RoundCube Webmail is a browser-based multilingual IMAP client
with an application-like user interface. It provides full
functionality you expect from an e-mail client, including MIME
support, address book, folder manipulation, message searching
and spell checking. RoundCube Webmail is written in PHP and
requires the MySQL database or the PostgreSQL database. The user
interface is fully skinnable using XHTML and CSS 2.
– ——————————————————————————–
Update Information:
Patch to correct Denial Of Service issue.
– ——————————————————————————–
ChangeLog:
* Wed Dec 17 2008 Jon Ciesla
– – Security fix, BZ 476830.
* Fri Dec 12 2008 Jon Ciesla
– – Security fix, BZ 476223.
– ——————————————————————————–
References:
[ 1 ] Bug #476830 – CVE-2008-5620 roundcubemail: DoS due insufficient quota image size paramaters checking (use excessive amount of memory)
https://bugzilla.redhat.com/show_bug.cgi?id=476830
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update roundcubemail’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iQEVAwUBSVjcf0hXCWfrVVdXAQFNWgf9EE3WakvcZz1nIwKiy2zbGPzhRDy7jngh
NF96OpYrKlCrHLtV6cjsNfY3fThVst4wH1k5cAmmoPpKW6N+xhRr+LsScb4E8ac3
YaHVsxUyivy6DHpnRMB4rlARA5qIGleMe5TkAXxOCJAh8PugHg+Ym91ieAd0mNUQ
SPFs9bbahM+ZgTX96UmmAtEKRsziqC0h8jT9TfbVtt5muBB+1KPa5VxGzYyFzBVn
TKa8+EOMyBzCStapMWBFwlYMBktIIImTPMS0WCS8lfx4fNPF0QR2Q9EgTuVUqYGO
k/LPikox6lBwGwc7G9G5qiorClzos1ZUTgf/8gxLq7E7kpInsNRDNQ==
=ZwJ2
—–END PGP SIGNATURE—–
