—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-4336 – Denial-of-Service Schwachstelle in collectd
In collectd (Versionen ab 4.0.8 bis 4.9.4 und 4.10.2) existiert in der
Funktion cu_rrd_create_file() eine Schwachstelle, die ein entfernter
Angreifer, z.B. mittels eines speziell praeparierten Netzwerkpakets,
ausnutzen kann um einen Denial-of-Service Angriff durchzufuehren. Sofern
das Netzwerk-Plugin fuer den Sicherheitslevel “Sign” oder “Encrypt”
konfiguriert ist, benoetigt der Angreifer Kenntnis des zuvor
vereinbarten Schluessels (pre-shared key).
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket collectd
Fedora 14
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Timo Schulz
– —
Timo Schulz, B.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-19031
2010-12-17 19:58:31
– ——————————————————————————–
Name : collectd
Product : Fedora 14
Version : 4.9.4
Release : 1.fc14
URL : http://collectd.org/
Summary : Statistics collection daemon for filling RRD files
Description :
collectd is a small daemon written in C for performance. It reads various
system statistics and updates RRD files, creating them if necessary.
Since the daemon doesn’t need to startup every time it wants to update the
files it’s very fast and easy on the system. Also, the statistics are very
fine grained since the files are updated every 10 seconds.
– ——————————————————————————–
ChangeLog:
* Fri Dec 17 2010 Alan Pevec
– – New upstream version 4.9.4
http://collectd.org/news.shtml#news86
– – fixes CVE-2010-4336 (rhbz#663799)
* Wed Sep 29 2010 jkeating – 4.9.2-1.1
– – Rebuilt for gcc bug 634757
* Tue Jun 8 2010 Alan Pevec
– – New upstream version 4.9.2
http://collectd.org/news.shtml#news83
– ——————————————————————————–
References:
[ 1 ] Bug #663797 – CVE-2010-4336 collectd: DoS via the RRDtool and RRDCacheD plugins
https://bugzilla.redhat.com/show_bug.cgi?id=663797
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update collectd’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iQEcBAEBAgAGBQJNJwDMAAoJEJtyb8U7iGZBDZQH/iOQCUECM6xn7zINQbGnJvA5
jwDV2g56P2rpAIePoKpEUWb8z7nlBptUoduKppoPsu7XC3AXUZenLl/pSDaCGWDs
CLngHpvf+ryLdVvm6m/AnagIVhRRsdZm65rvGRJYZYcsvUYR+n6lvouH6vj9SqRQ
S+GckiY8tse8aon81XIOOmAYQ8jXEqaJtzjW5DZ24kWiD06tk9A+c77TaN4hPCBI
H9qd9E20hZfOpeIlo0UOVXzKXpNZsx0n8SOh1+BGLKSyk4H4/1lpG3Wg71ksnFH4
HeXFjSvVM+RpkjAzppIVeCNsQR0oZx48bmMZebAQyGPrWvYHFn6PjbKalnoQJOE=
=9+CJ
—–END PGP SIGNATURE—–
