—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-0431 – Schwachstelle in openafs

Durch eine unzureichende Fehlerbehandlung im Kernel-Modul ist es einem
entfernten Angreifer moeglich, einen Denial of Service-Angriff
durchzufuehren.

CVE-2011-0430 – Schwachstelle in openafs

Eine Schwachstelle im Rx-Server von afs fuehrt zu einer doppelten
Freigabe von Speicher (double free). Dadurch ist es einem entfernten
Angreifer moeglich, einen Denial of Service-Angriff durchzufuehren oder
schlimmstenfalls beliebigen Code auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket openafs in der old stable Distribution (lenny) vor Version
1.4.7.dfsg1-6+lenny4.
Paket openafs in der stable Distribution (squeeze) vor Version
1.4.12.1+dfsg-4
Paket openafs in der unstable Distribution (sid) vor Version
1.4.14+dfsg-1

Old Stable Distribution (lenny)
Stable Distribution (squeeze)
Unstable Distribution (sid)

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Timo Schulz

– —
Timo Schulz, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

– – ————————————————————————-
Debian Security Advisory DSA-2168-1 security@debian.org
http://www.debian.org/security/ Moritz Muehlenhoff
February 16, 2011 http://www.debian.org/security/faq
– – ————————————————————————-

Package : openafs
Vulnerability : several
Problem type : remote
Debian-specific: no
CVE ID : CVE-2011-0430 CVE-2011-0431

Two vulnerabilities were discovered the distributed filesystem AFS:

CVE-2011-0430

Andrew Deason discovered that a double free in the Rx server
process could lead to denial of service or the execution of
arbitrary code.

CVE-2011-0431

It was discovered that insufficient error handling in the
kernel module could lead to denial of service.

For the oldstable distribution (lenny), this problem has been fixed in
version 1.4.7.dfsg1-6+lenny4. Due to a technical problem with the
buildd infrastructure the update is not yet available, but will be
installed into the archive soon.

For the stable distribution (squeeze), this problem has been fixed in
version 1.4.12.1+dfsg-4.

For the unstable distribution (sid), this problem has been fixed in
version 1.4.14+dfsg-1.

We recommend that you upgrade your openafs packages. Note that in order
to apply this security update, you must rebuild the OpenAFS kernel module.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org
– —–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.10 (GNU/Linux)

iEYEARECAAYFAk1cMBYACgkQXm3vHE4uyloITQCeNZ+S052CsGBgv0imV2huCxLb
I4UAn1xYH1lbm2x/zvD9BZOm/vHepeOz
=bRjF
– —–END PGP SIGNATURE—–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iQEcBAEBAgAGBQJNXUNFAAoJEJtyb8U7iGZB98AIAKXysivv77S2yNfgykAo9jmh
d6JMEnYglKmew+KQb3uz12YLC2LjedaM/hQqcyBZjXszPbAz5DTVSvu/qkw1K/L3
ZKDB03MqF+Fzik3Crl6M9wfRZBTYP+bzZ2XV8/URfEebI3s2ojGINqgiIlhclKR5
NyrwmccQYWwXipQaZzyXm4kg8PaxusehEzYdK4oolAPhEHAbnorOAgtpxWUI2f/J
ENHIuILbrTND8ZfHhMEU4Zf5/SH7/qsxdhVK8x2NS/7koFiqYfu9zskorI25uH2l
9KLV0y6pIpiOmGJyc4I/E7VRTc4MYCuZI+f/m6AIb4YiOIs1XJFj05yKQIa5xoY=
=Uu66
—–END PGP SIGNATURE—–