[Fedora] Schwachstelle in bareftp vor Version 0.3.7 – FEDORA-2010-18323

[Fedora] Schwachstelle in bareftp vor Version 0.3.7 - FEDORA-2010-18323

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-3350 – Schwachstelle in bareFTP vor Version 0.3.7

Von bareFTP vor Version 0.3.7 werden Verzeichnispfade in unsicherer
Weise gesetzt. In die Umgebungsvariable LD_LIBRARY_PATH kann auch ein
leerer Eintrag geschrieben werden, wenn kein Pfad gesetzt wurde. Durch
ld.so wird diese Umgebungsvariable so ausgewertet, dass ein leerer
Eintrag als das gegenwaertige Arbeitsverzeichnis interpretiert wird. Ein
lokaler Angreifer dem es gelingt, Benutzer zum Start der Anwendung aus
einem Verzeichnis in dem eine manipulierte Bibliotheksdatei mit
bestimmtem Namen hinterlegt wurde zu verleiten, kann diese Schwachstelle
ausnutzen, um beliebige Befehle mit dessen Rechten auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket bareftp

Fedora 14
Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-18323
2010-11-29 21:04:57
– ——————————————————————————–

Name : bareftp
Product : Fedora 13
Version : 0.3.7
Release : 1.fc13
URL : http://www.bareftp.org/
Summary : File transfer client supporting the FTP, FTP over SSL/TLS (FTPS) and SSH
Description :
bareFTP is a file transfer client supporting the FTP, FTP over SSL/TLS (FTPS)
and SSH File Transfer Protocol (SFTP). It is written in C#, targeting the Mono
framework and the GNOME desktop environment. bareFTP is free and open source
software released under the terms of the GPL license.

– ——————————————————————————–
ChangeLog:

* Fri Nov 26 2010 Itamar Reis Peixoto – 0.3.7-1
– – new version 0.3.7
* Wed Oct 27 2010 Paul F. Johnson – 0.3.6-1
– – New version 0.3.6
– – Build against mono-2.8
* Mon Apr 19 2010 Itamar Reis Peixoto – 0.3.2-1
– – New Version 0.3.2
– ——————————————————————————–
References:

[ 1 ] Bug #638371 – CVE-2010-3350 bareftp: insecure library loading vulnerability
https://bugzilla.redhat.com/show_bug.cgi?id=638371
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update bareftp’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkz/jVkACgkQWmhIvjFb90XBUACfVqClgQOk8H5KB6PtNK6gok/k
T0YAn1Yezxu5zSz9FBN87Cz/1SKdT0b8
=Axxb
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben