—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
aria2 ist eine Cross-Plattform Downloadanwendung die auf der
Kommandozeile bedient wird. Sie unterstuetzt HTTP/HTTPS, FTP, BitTorrent
und Metalink, sowie Downloads aus verschiedenen Quellen. aria2 hat eine
eingebaute XML-RPC Schnittstelle und kann ueber diese gesteuert werden.
CVE-2009-3575 / RedHat Bug ID 527827 – Buffer Overflow in der Funktion
deserialize() von aria2
In der Funktion deserialize() (aus: DHTRoutingTableDeserializer.cc)
von aria2 werden Benutzereingaben nicht hinreichend geprueft.
Hierdurch kann ein Buffer Overflow ausgeloest werden. Ein entfernter
Angreifer kann diese Schwachstelle ausnutzen um die Anwendung zum
Absturz zu bringen (Denial of Service) oder beliebige Befehle mit den
Rechten der Anwendung auszufuehren.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket aria2
Fedora 10
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-October/msg00282.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Torsten Voss
– —
Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-10344
2009-10-09 02:21:11
– ——————————————————————————–
Name : aria2
Product : Fedora 10
Version : 1.3.1
Release : 2.fc10
URL : http://aria2.sourceforge.net/
Summary : High speed download utility with resuming and segmented downloading
Description :
aria2 is a download utility with resuming and segmented downloading.
Supported protocols are HTTP/HTTPS/FTP/BitTorrent. It also supports Metalink
version 3.0.
Currently it has following features:
– – HTTP/HTTPS GET support
– – HTTP Proxy support
– – HTTP BASIC authentication support
– – HTTP Proxy authentication support
– – FTP support(active, passive mode)
– – FTP through HTTP proxy(GET command or tunneling)
– – Segmented download
– – Cookie support(currently aria2 ignores “expires”)
– – It can run as a daemon process.
– – BitTorrent protocol support with fast extension.
– – Selective download in multi-file torrent
– – Metalink version 3.0 support(HTTP/FTP/BitTorrent).
– – Limiting download/upload speed
– ——————————————————————————–
Update Information:
Fixes CVE-2009-3575, A buffer overflow vulnerability described in more detail at
https://bugzilla.redhat.com/show_bug.cgi?id=527827
– ——————————————————————————–
ChangeLog:
* Thu Oct 8 2009 Rahul Sundaram
– – Fix spec. Dumb mistake
* Thu Oct 8 2009 Rahul Sundaram
– – Update to the same version as Fedora 11 that fixes rhbz#52782
* Fri Dec 5 2008 MichaÅ? Bentkowski
– – New version, 1.0.1
– – Forgot to add changelog in last release…
– ——————————————————————————–
References:
[ 1 ] Bug #527827 – CVE-2009-3575 aria2: buffer overflow vulnerability
https://bugzilla.redhat.com/show_bug.cgi?id=527827
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update aria2’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFKzxfMk0kIxZMiiQ8RAqAtAKCZD7OtPORLJ6t90zQbhHx60nuGvgCg0uwV
eMZVB4useUjRPc5b3twazyc=
=eADf
—–END PGP SIGNATURE—–
