—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
RedHat Bug ID 560737 – Mehrere Schwachstellen in OCS Inventory
In OCS Inventory werden an verschiedenen Stellen Benutzereingaben
nicht hinreichend gefiltert: (1) Eingaben ueber den “c” Parameter der
index.php, (2) Eingaben die ueber die URL durch index.php an den
Benutzer zurueckgegeben werden und (3) Eingaben in zahlreiche
Datenfelder der index.php. Ein entfernter Angreifer kann diese
Schwachstellen zu SQL Injection und Cross-Site Scripting ausnutzen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket ocsinventory
Fedora 11
Fedora 12
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-February/034876.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-February/034888.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
– —
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
17. DFN Workshop “Sicherheit in vernetzten Systemen” 09./10.02.2010
Informationen unter https://www.dfn-cert.de/veranstaltungen/workshop.html
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-1535
2010-02-05 23:24:13
– ——————————————————————————–
Name : ocsinventory
Product : Fedora 12
Version : 1.02.3
Release : 1.fc12
URL : http://www.ocsinventory-ng.org/
Summary : Open Computer and Software Inventory Next Generation
Description :
Open Computer and Software Inventory Next Generation is an application
designed to help a network or system administrator keep track of the
computers configuration and software that are installed on the network.
OCS Inventory is also able to detect all active devices on your network,
such as switch, router, network printer and unattended devices.
OCS Inventory NG includes package deployment feature on client computers.
ocsinventory is a metapackage that will install the communication server,
the administration console and the database server (MySQL).
– ——————————————————————————–
Update Information:
Multiple vulnerabilities have been discovered in OCS Inventory NG, which can be
exploited by malicious users to conduct SQL injection attacks and by malicious
people to conduct cross-site scripting attacks.
– ——————————————————————————–
ChangeLog:
* Fri Feb 5 2010 Remi Collet
– – Security Fixes – Bug #560737
– ——————————————————————————–
References:
[ 1 ] Bug #560737 – OCS Inventory NG: Multiple security fixes in v1.02.2 version of Management server for Unix/Linux
https://bugzilla.redhat.com/show_bug.cgi?id=560737
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update ocsinventory’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFLcDPgWmhIvjFb90URAvInAJ9nQHv2sc8BBjeIYLw+d5ux591kRQCbBw36
t10NOwsIGNatL/pLXB57aKM=
=Z0X0
—–END PGP SIGNATURE—–
