[Fedora] Schwachstelle in der Bibliothek libcurl vor Version 7.20.0 – FEDORA-2010-2762

[Fedora] Schwachstelle in der Bibliothek libcurl vor Version 7.20.0 - FEDORA-2010-2762

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

RedHat Bug ID 563220 – Buffer-Overflow durch Fehler in der Bibliothek
libcurl

Wird die Bibliothek libcurl so verwendet, dass sie bei HTTP-Downloads
selbstaendig mit zlib die Nutzdaten entpackt, so koennen mehr Daten an
die aufrufende Anwendung uebergeben werden als in CURL_MAX_WRITE_SIZE
spezifiziert. Dadurch kann ein Buffer-Overflow ausgeloest werden. Ein
entfernter Angreifer kann diese Schwachstelle dazu ausnutzen, die
Anwendung zum Absturz zu bringen oder beliebigen Code mit den Rechten
des Benutzers auszufuehren. Voraussetzung ist, dass die Anwendung dem
Groessenlimit in CURL_MAX_WRITE_SIZE vertraut.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket curl

Fedora 12

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-March/036744.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Jens Grabarske

– —

Jens Grabarske (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-2762
2010-02-24 04:57:14
– ——————————————————————————–

Name : curl
Product : Fedora 12
Version : 7.19.7
Release : 7.fc12
URL : http://curl.haxx.se/
Summary : A utility for getting files from remote servers (FTP, HTTP, and others)
Description :
cURL is a tool for getting files from HTTP, FTP, FILE, LDAP, LDAPS,
DICT, TELNET and TFTP servers, using any of the supported protocols.
cURL is designed to work without user interaction or any kind of
interactivity. cURL offers many useful capabilities, like proxy support,
user authentication, FTP upload, HTTP post, and file transfer resume.

– ——————————————————————————–
Update Information:

http://curl.haxx.se/docs/adv_20100209.html
– ——————————————————————————–
ChangeLog:

* Mon Feb 22 2010 Kamil Dudka 7.19.7-7
– – upstream patch adding a new option -J/–remote-header-name
– – upstream patches mentioned in CHANGES
– – http://curl.haxx.se/docs/adv_20100209.html (#563240)
* Wed Dec 30 2009 Kamil Dudka 7.19.7-6
– – fix incorrect SSL recv/send timeout handling, patch contributed
by Kevin Baughman
– – http://permalink.gmane.org/gmane.comp.web.curl.library/26302
* Wed Dec 9 2009 Kamil Dudka 7.19.7-5
– – use different port numbers for 32bit and 64bit builds
– – replace hard wired port numbers in the test suite
* Tue Dec 8 2009 Kamil Dudka 7.19.7-4
– – avoid use of uninitialized value in lib/nss.c
– – make it possible to run test241
– – suppress failure of test513 on s390
– – re-enable SCP/SFTP tests (#539444)
* Tue Dec 1 2009 Kamil Dudka 7.19.7-3
– – do not require valgrind on s390 and s390x
– – temporarily disabled SCP/SFTP test-suite (#539444)
* Thu Nov 26 2009 Kamil Dudka 7.19.7-2
– – workaround for broken TLS servers (#525496, #527771)
* Thu Nov 12 2009 Kamil Dudka 7.19.7-1
– – new upstream release, dropped applied patches
– – fix crash on doubly closed NSPR descriptor, patch contributed
by Kevin Baughman (#534176)
– ——————————————————————————–
References:

[ 1 ] Bug #563220 – curl: zlib-compression causes curl to pass more than CURL_MAX_WRITE_SIZE bytes to write callback
https://bugzilla.redhat.com/show_bug.cgi?id=563220
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update curl’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLlnD7WmhIvjFb90URAhekAJ9Ac2nVoEjaFZHkoglHPRgKDC2rCACdHhTG
zzPLY/aU4vunsvOMCXboo78=
=wO/L
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben