—–BEGIN PGP SIGNED MESSAGE—–
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2008-5081 – Schwachstelle im Avahi Daemon vor Version 0.6.24
Im Avahi Daemon vor Version 0.6.24 kann durch ein mDNS-Paket mit
Quellport 0 ein Absturz des Daemons ausgeloest werden. Ein entfernter
Angreifer kann dies fuer einen Denial of Service Angriff nutzen. Ein
Programm zum Erzeugen dieser Pakete ist bereits oeffentlich
verfuegbar.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket avahi
Fedora 10
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-January/msg00267.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —
Michael Groening (Incident Response Team), +49 40 808077-555
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2008-11351
2008-12-17 03:33:20
– ——————————————————————————–
Name : avahi
Product : Fedora 10
Version : 0.6.22
Release : 12.fc10
URL : http://avahi.org
Summary : Local network service discovery
Description :
Avahi is a system which facilitates service discovery on
a local network — this means that you can plug your laptop or
computer into a network and instantly be able to view other people who
you can chat with, find printers to print to or find files being
shared. This kind of technology is already found in MacOS X (branded
‘Rendezvous’, ‘Bonjour’ and sometimes ‘ZeroConf’) and is very
convenient.
– ——————————————————————————–
Update Information:
This version includes five patches backported from the recently released 0.6.24:
– – A trivial security fix for CVE-2008-5081, rhbz 475964. – A trivial fix for
the threaded event loop, avahi bts #251 – A trivial fix unbreaking the
– –force-bind logic of avahi-autoipd, avahi bts #209 – A trivial fix to make
sure we never end up with an invalid IP address in avahi-autoipd, avahi bts #231
– – A trivial change to include the host name of the sender when we receive bogus
mDNS packets, rhbz #438013 All changes are “trivial”, i.e. very simple in
nature.
– ——————————————————————————–
ChangeLog:
* Sun Dec 14 2008 Lennart Poettering
– – Fix a couple of issues, rhbz #475394, avahi bts #209, rhbz #438013, avahi bts
All backported from upstream 0.6.24
– ——————————————————————————–
References:
[ 1 ] Bug #475964 – CVE-2008-5081 avahi: avahi-daemon DoS (application abort) via packet with source port 0
https://bugzilla.redhat.com/show_bug.cgi?id=475964
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update avahi’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iQEVAwUBSWYd1UhXCWfrVVdXAQEN3Af/cAs7SgRfaZInc7koRCtm9Q4EP6JcZvcJ
ufmgl7mTiNcw3U2uDevd5NmHCeajRIdbyyYdFyKQm39FXl1on7g9at4pwr1LFCsg
P2UDNnmpSvNo7/ylnd99aKriJ9gZBZOgKIlzRVO85HXX/KQDLm/F/lAArIvedvrZ
BHGalNh6Jv1Dkl2Pj+4c94711LVjOon/fkAkewU5SSOOJZVfJErSBhmy7bzBtOj5
oc37IRkk2FHP/xnluCgNx10fejJS2I1HaFoevXBfSJ/AfnxQ7FMo2xbQEGCMCCV6
AyA1spl7yaSBc9CrOK8SnqNdoHlqsijxRIGJwba0a9NCdmUIbAl1KA==
=DWc3
—–END PGP SIGNATURE—–
