—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-2253 – Ungenuegende Ueberpruefung von Dateinamen in libwww-perl
In der Bibliothek libwww-perl wird in der Funktion lwp-download() vor
einem Download nicht ueberprueft, ob der Dateiname mit einem Punkt
anfaengt. Dadurch koennen Dateien im Home Verzeichnis ueberschrieben
oder neu angelegt werden. Ein entfernter Angreifer kann diese
Schwachstelle entweder mit einem 3xx Redirect zu einer anderen URL oder
mit einem Content-Disposition Header und entsprechenden Dateinamen
ausnutzen um Dateien zu ueberschreiben oder neu anlegen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket perl-libwww-perl
Fedora 14
Fedora 13
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
– —
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-15532
2010-09-30 10:02:26
– ——————————————————————————–
Name : perl-libwww-perl
Product : Fedora 13
Version : 5.837
Release : 2.fc13
URL : http://search.cpan.org/dist/libwww-perl/
Summary : A Perl interface to the World-Wide Web
Description :
The libwww-perl collection is a set of Perl modules which provides a simple and
consistent application programming interface to the World-Wide Web. The main
focus of the library is to provide classes and functions that allow you to
write WWW clients. The library also contain modules that are of more general
use and even classes that help you implement simple HTTP servers.
– ——————————————————————————–
Update Information:
Fix broken package dependencies
CVE-2010-2253
lwp-download now needs the -s option to honor the Content-Disposition header
CVE-2010-2253
lwp-download now needs the -s option to honor the Content-Disposition header
– ——————————————————————————–
ChangeLog:
* Tue Sep 28 2010 Ralf Corsépius
– – Add missing ‘:’ to filter_from_requires perl(HTTP::GHTTP).
– – filter_from_provides /perl(HTTP::Headers)$/d instead of /perl(HTTP::Headers)/d.
* Mon Sep 27 2010 Marcela MaÅ¡láÅ?ová
– – update
* Mon Jul 12 2010 Marcela Maslanova
– – update
* Mon Jun 21 2010 Jesse Keating
– – Bump to match what was pushed to F13.
* Sun May 2 2010 Marcela Maslanova
– – Mass rebuild with perl-5.12.0
– ——————————————————————————–
References:
[ 1 ] Bug #602800 – CVE-2010-2253 perl-libwww-perl: multiple HTTP client download filename vulnerability [OCERT 2010-001]
https://bugzilla.redhat.com/show_bug.cgi?id=602800
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update perl-libwww-perl’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAkzRG6AACgkQWmhIvjFb90WxsQCeLn57w5K+h6HFeAtTFLcPmufz
y3oAn1q9stzcywmKHS920x1HB3fZN9oN
=Zool
—–END PGP SIGNATURE—–
