—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2008-6123 – Schwachstelle in netsnmp
Netsnmp enthaelt eine Schwachstelle bei der Authentifizierung von
Clients. Die Funktion ‘netsnmp_udp_fmtaddr()’ ueberprueft bei der
Verwendung von TCP Wrapper nicht, ob ein Client im ‘hosts.allow’
Ruleset eingetragen ist. Ursache dafuer ist, dass bei der
Ueberpruefung Quell- und Ziel- IP vertauscht werden und somit immer
eine positive Authentifikation erfolgt. Ein Angreifer dem es gelingt
diese Schwachstelle auszunutzen, kann beliebige SNMP Queries an den
Server senden.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket net
Fedora 10
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-February/msg00764.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —
Michael Groening (Incident Response Team), +49 40 808077-555
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-1769
2009-02-17 14:51:02
– ——————————————————————————–
Name : net-snmp
Product : Fedora 10
Version : 5.4.2.1
Release : 3.fc10
URL : http://net-snmp.sourceforge.net/
Summary : A collection of SNMP protocol tools and libraries
Description :
SNMP (Simple Network Management Protocol) is a protocol used for
network management. The NET-SNMP project includes various SNMP tools:
an extensible agent, an SNMP library, tools for requesting or setting
information from SNMP agents, tools for generating and handling SNMP
traps, a version of the netstat command which uses SNMP, and a Tk/Perl
mib browser. This package contains the snmpd and snmptrapd daemons,
documentation, etc.
You will probably also want to install the net-snmp-utils package,
which contains NET-SNMP utilities.
Building option:
–without tcp_wrappers : disable tcp_wrappers support
– ——————————————————————————–
ChangeLog:
* Mon Feb 16 2009 Jan Safranek
– – fix tcp_wrappers integration (CVE-2008-6123)
* Mon Dec 1 2008 Jan Safranek
– – rebuild for fixed rpm (#473420)
* Mon Nov 3 2008 Jan Safranek
– – explicitly require the right version and release of net-snmp and
net-snmp-libs
– – update to net-snmp-5.4.2.1 to fix CVE-2008-4309
– ——————————————————————————–
References:
[ 1 ] Bug #485211 – CVE-2008-6123 net-snmp: snmp queries allowed from each remote host regardless of /etc/hosts.allow configuration (host sensitive information disclosure)
https://bugzilla.redhat.com/show_bug.cgi?id=485211
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update net-snmp’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFJnClJk0kIxZMiiQ8RAqWvAKC8h8xVjxhG7o57vVaTfJ3rlaoZFwCdGNCS
Fv489AHHfp46uodjC4Y8TUw=
=8mJJ
—–END PGP SIGNATURE—–
