—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2011-0465 – Fehlende Bereinigung von Eingabedaten in xrdb
In xrdb werden Eingabedaten vor der Verarbeitung nicht ausreichend
gefiltert. Ein entfernter Angreifer kann dies ausnutzen um mittels
praeparierter Hostnamen beliebigen Code mit Root-Rechten auszufuehren.
Voraussetzung ist, dass entweder Logins ueber xdmcp erlaubt sind oder
der Angreifer einen entsprechenden DHCP-Server im Netzwerk des Opfers
praepariert.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket x11-xserver-utils in der oldstable Distribution (lenny) vor
Version 7.3+6
Paket x11-xserver-utils in der stable Distribution (squeeze) vor
Version 7.5+3
Paket x11-xserver-utils in der unstable Distribution (sid) vor 7.6+2
Fuer die testing Distribution (wheezy) werden Updates in Kuerze bereit
gestellt.
Oldstable Distribution (lenny)
Stable Distribution (squeeze)
Testing Distribution (wheezy)
Unstable Distribution (sid)
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Tilmann Haak
– —
Dipl.-Inform. Tilmann Haak (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
– – ————————————————————————-
Debian Security Advisory DSA-2213-1 security@debian.org
http://www.debian.org/security/ Nico Golde
April 8, 2011 http://www.debian.org/security/faq
– – ————————————————————————-
Package : x11-xserver-utils
Vulnerability : missing input sanitization
Problem type : remote
Debian-specific: no
CVE ID : CVE-2011-0465
Debian bug : 621423
Sebastian Krahmer discovered that the xrdb utility of x11-xserver-utils,
a X server resource database utility, is not properly filtering crafted
hostnames. This allows a remote attacker to execute arbitrary code with
root privileges given that either remote logins via xdmcp are allowed or
the attacker is able to place a rogue DHCP server into the victims network.
The oldstable distribution (lenny), this problem has been fixed in
version 7.3+6.
For the stable distribution (squeeze), this problem has been fixed in
version 7.5+3.
For the testing distribution (wheezy), this problem will be fixed soon.
For the testing distribution (sid), this problem has been fixed in
version 7.6+2.
We recommend that you upgrade your x11-xserver-utils packages.
Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/
Mailing list: debian-security-announce@lists.debian.org
– —–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.10 (GNU/Linux)
iEYEARECAAYFAk2fZ5IACgkQHYflSXNkfP8bPACaApNJEcy6nAVhMIi2chGG5eCd
/ccAoJey1hpj7SvgIDMhZEXwHiXEKFa4
=twQP
– —–END PGP SIGNATURE—–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iQEcBAEBAgAGBQJNouzJAAoJEJtyb8U7iGZBBu4H+wX49BB5/M2c74tVrQbUzvOb
25+QA91sDyehOpClc3vdDYsxLuo1tSMGXP4Og9Q0hg/d20cvzcrklQXegM+jQdZC
LiMhbXW2FfdYJhwf9xBDNQiZf0BWDI9zcNJ1RcKve2pDuPzCYINmt2fdt/2f3Kbp
rdwD3CkOWXPhLR3e3O69iN8PdXgTcwM/h50xJWo9EB9JMMZS8o10akDGCYcQOMHn
m9c4W9AQNmIS9GvXN010pnzUQ70RWmNSJyXo04JdE8WY/ohB46J+YCJy1T4zLFiA
xKMxwcHqe8t+GlJE6HMLbZRphx6QY1LOg1pCTpGvcI0mKM09btoVkIECFCsbrqA=
=GZzk
—–END PGP SIGNATURE—–
