—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2011-1022 – Schwachstelle in Libcgroup
In der Funktion cgre_receive_netlink_msg() wird bei Netlink-Nachrichten
die Quelle nicht ausreichend geprueft. Das fuehrt dazu, dass ein lokaler
Angreifer mittels praeparierter Netlink-Nachrichten an den
cgrulesengd-Daemon die Moeglichkeit hat, Prozesse verschiedenen
Kontrollgruppen zuzuordnen, so dass diese Prozesse mehr Ressourcen
(Speicher, CPU) erhalten als beabsichtigt.
CVE-2011-1006 – Schwachstelle in Libcgroup
In der Funktion parse_cgroup_spec(), bei der Konvertierung von
Kontroller-Listen die vom Nutzer fuer einen speziellen Task erzeugt
wurden, ist es moeglich, dass ein Heap Overflow auftritt. Ein lokaler
Angreifer kann dies ausnutzen, um mittels einer speziell praeparierten
Liste hoehere Privilegien zu erlangen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket libcgroup
Fedora 14
Fedora 15
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Theodor Nolte
– —
Theodor Nolte, B.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-2631
2011-03-04 09:42:07
– ——————————————————————————–
Name : libcgroup
Product : Fedora 14
Version : 0.36.2
Release : 6.fc14
URL : http://libcg.sourceforge.net/
Summary : Tools and libraries to control and monitor control groups
Description :
Control groups infrastructure. The tools and library help manipulate, control,
administrate and monitor control groups and the associated controllers.
– ——————————————————————————–
Update Information:
Two security bugs were fixed in this release:
* CVE-2011-1006: Heap-based buffer overflow by converting list of controllers for given task into an array of strings
* CVE-2011-1022: Unchecked origin of NETLINK messages
– ——————————————————————————–
ChangeLog:
* Thu Mar 3 2011 Jan Safranek
– – Fixed CVE-2011-1022 and CVE-2011-1006
– ——————————————————————————–
References:
[ 1 ] Bug #680409 – CVE-2011-1022 libcgroup: Uncheck origin of NETLINK messages
https://bugzilla.redhat.com/show_bug.cgi?id=680409
[ 2 ] Bug #678107 – CVE-2011-1006 libcgroup: Heap-based buffer overflow by converting list of controllers for given task into an array of strings
https://bugzilla.redhat.com/show_bug.cgi?id=678107
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update libcgroup’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iQEcBAEBAgAGBQJNkHbcAAoJEJtyb8U7iGZBNAUH/1kmOqyTvUMno2yINr/FR9jM
eplmFnCFZmLteaSc9seklLeUXa4P35jDuzwYVOwF3FaN30q+1wWTI62rW5+81PG4
rhYxEZAEy/6MvDPrncw1dWrwBdG17A2v0pK7H1VWAyieXphEh80SZU0M1hGVt4Rj
NGvWFKhm9c9+qNUCcvfbErlGndQoO22y8OsUGcbJTgp5o7cusL9yUROvQ161vbXS
7ocLJOdOySxJDwSxkjY6n/K+yvINBYv+JHIQF6Yd8sH2itDYR1ukGHM8hsMUKEId
fw8zeA1Jh9FZehxC1PIOUCNM5QhiuJppFcT8pHOfTkHN8Wu2gHs4+P1zJYOHPmQ=
=pFRO
—–END PGP SIGNATURE—–
