—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-4254 – Schwachstelle in Moonlight
Wenn Moonlight in den Versionen vor 2.3.0.1 oder 2.99.x vor 2.99.0.10
verwendet wird, verifiziert Mono Argumente generischer Methoden nicht
korrekt. Ein entfernter Angreifer kann dies ausnutzen, um mittels eines
praeparierten Methodenaufrufs allgemeine Beschraenkungen (generic
constraints) zu umgehen und so moeglicherweise beliebigen Code mit den
Rechten der Anwendung zur Ausfuehrung zu bringen.
CVE-2010-4159 – Schwachstelle in Mono
Die Mono Laufzeitumgebung behandelt das Nachladen von Bibliotheken nicht
sicher, denn es werden DLLs auch im aktuellen Arbeitsverzeichnis
gesucht. Ein lokaler Angreifer, der den Benutzer verleiten kann, eine
Anwendung aus einem Verzeichnis mit einer manipulierten Bibliothek
passenden Namens zu starten, kann diese Schwachstelle ausnutzen, um
beliebige Befehle mit den Rechten des Anwenders zur Ausfuehrung zu
bringen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket mono-addins
Fedora 14
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Timo Schulz
– —
Timo Schulz, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-3393
2011-03-15 21:10:35
– ——————————————————————————–
Name : mono-addins
Product : Fedora 14
Version : 0.5
Release : 2.fc14
URL : http://www.mono-project.com/Main_Page
Summary : Addins for mono
Description :
Mono.Addins is a generic framework for creating extensible applications,
and for creating libraries which extend those applications.
– ——————————————————————————–
Update Information:
* CVE-2010-4159
* CVE-2010-4254
* mono-core and mono-addins do not depend on mono-devel anymore
– ——————————————————————————–
ChangeLog:
* Sun Mar 13 2011 Christian Krause
– – Use official 0.5 release linked from http://ftp.novell.com/pub/mono/archive/2.6.7/sources/
– – Move MSBuild parts into -devel package so that the main package does not
depend on mono-devel (BZ 671917)
– ——————————————————————————–
References:
[ 1 ] Bug #654403 – CVE-2010-4159 mono: untrusted search path vulnerability
https://bugzilla.redhat.com/show_bug.cgi?id=654403
[ 2 ] Bug #659910 – CVE-2010-4254 mono: vulnerability when Moonlight is used may allow arbitrary code execution
https://bugzilla.redhat.com/show_bug.cgi?id=659910
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update mono-addins’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iQEcBAEBAgAGBQJNlaiAAAoJEJtyb8U7iGZBi9wH/jn5P44GF1G8VOIzwuFQ1k0h
Pq5nWgjIu2bJ4x9U1wAcFRddFMb/QRO/E+rSo6l33mANrRjlK971PGLMrdXyJz71
9QnPgHhbbTX3Y+P0P7ROTps9tSNHd0Kv/p4eRmJibu5iXRZWwerpAhCmJm11+xQp
pzVAn7bGLEKjPqMQjRY0DQ7KlvpvkZeE3sYk1G3ZPpIsnCAKap0QPjV0d4LiYIdT
1oRyZa9zZbJnVDsmAjB+uwxZV+f4Syl8bJ2ksHzx48We2D09UYxy5aLiVpMwWSU9
d/9rdmRxbMTJMYagHrG+L7v0N+XJAAcqe1vox8qYo73oESEsT8pt8JXJ8qpRYG8=
=nu1w
—–END PGP SIGNATURE—–
