—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
perl-Net-OAuth ist eine Perl Implementation von OAuth, einem offenen
Protokoll fuer sichere API Authentifizierung.
RedHat Bug ID 528608 – Session Fixation im OAuth 1.0 Protokoll
Perl-Net-OAuth vor Version 0.19 unterstuetzt lediglich das OAuth
Protokoll der Version 1.0, welches anfaellig fuer Session Fixation
ist. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen um
sich als sein Opfer auszugeben und unter dessen Rechtekontext Daten
auszuspaehen oder zu veraendern.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket perl
Fedora 10
Fedora 11
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-October/msg00497.html
https://www.redhat.com/archives/fedora-package-announce/2009-October/msg00476.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
– —
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-10539
2009-10-15 22:03:22
– ——————————————————————————–
Name : perl-Net-OAuth
Product : Fedora 11
Version : 0.19
Release : 1.fc11
URL : http://search.cpan.org/dist/Net-OAuth/
Summary : OAuth protocol support library for Perl
Description :
Perl implementation of OAuth, an open protocol to allow secure API
authentication in a simple and standard method from desktop and web
applications. In practical terms, a mechanism for a Consumer to request
protected resources from a Service Provider on behalf of a user.
– ——————————————————————————–
Update Information:
A session fixation vulnerability was discovered in OAuth protocol 1.0. Perl
OAuth bindings were updated to support the new version of the OAauth protocol
that was issued to address the vulnerability. All OAuth users are strongly
advised to update to this updated package and protocol version 1.0a which fixes
the vulnerability. Upstream advisory: http://oauth.net/advisories/2009-1
– ——————————————————————————–
ChangeLog:
* Tue Oct 13 2009 Lubomir Rintel (Good Data)
– – Update to 0.19, fixes security issue (2009.1)
* Sun Jul 26 2009 Fedora Release Engineering
– – Rebuilt for https://fedoraproject.org/wiki/Fedora_12_Mass_Rebuild
– ——————————————————————————–
References:
[ 1 ] Bug #528608 – current perl-Net-OAuth does not support OAuth 1.0a
https://bugzilla.redhat.com/show_bug.cgi?id=528608
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update perl-Net-OAuth’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFK2FW/k0kIxZMiiQ8RAo02AJ9Gz+cq5Zo0l4aPc9+bLasEBWhmawCeOUbE
1VV3Rvl5vRSEiED8REEuQ+U=
=5fyY
—–END PGP SIGNATURE—–
