—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2009-3369 – Unzureichende Sicherung der ClientNameAlias Funktion in
BackupPC
Das BackupPC Skript CgiUserConfigEdit sichert den Zugang zur
ClientNameAlias() Funktion nicht ausreichend ab. Dadurch koennen am
System angemeldete Benutzer auch fuer andere Systeme ein Backup und
Restore durchfuehren, solange der zugehoerige SSH-Schluessel derselbe
wie fuer das ihnen zugeordnete System ist. Dies ist haeufig der Fall.
Die Angreifer koennen auf diesem Weg auch die Dateien der betroffenen
Systeme einsehen bzw. aendern.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket BackupPC
Fedora 10
Fedora 11
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-October/msg00421.html
https://www.redhat.com/archives/fedora-package-announce/2009-October/msg00326.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT
– —
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-9982
2009-09-29 13:43:25
– ——————————————————————————–
Name : BackupPC
Product : Fedora 11
Version : 3.1.0
Release : 7.fc11
URL : http://backuppc.sourceforge.net/
Summary : High-performance backup system
Description :
BackupPC is a high-performance, enterprise-grade system for backing up Linux
and WinXX PCs and laptops to a server’s disk. BackupPC is highly configurable
and easy to install and maintain.
– ——————————————————————————–
ChangeLog:
* Fri Sep 25 2009 Johan Cwiklinski
– – Fix security bug (bug #518412)
* Fri Sep 18 2009 Johan Cwiklinski
– – Fix SELinux policy module for UserEmailInfo.pl file
– ——————————————————————————–
References:
[ 1 ] Bug #518412 – CVE-2009-3369 BackupPC: Permission bypass via ClientNameAlias by using rsync data backup method
https://bugzilla.redhat.com/show_bug.cgi?id=518412
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update BackupPC’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFK5u8Ck0kIxZMiiQ8RAtMIAJ0d1SXsujDEko+eN8mFyzZDkJ7jlACfQVM6
UpAMItkqaDJhtEGC2At26do=
=8z/4
—–END PGP SIGNATURE—–
