—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2011-0001 – Schwachstelle in scsi-target-utils
In der Funktion iscsi_rx_handler() (in: iscsid.c) im tgtd-Daemon ist ein
Double Free-Fehler vorhanden. Dieser erlaubt es einem entfernten
Angreifer den Dienst zum Absturz zu bringen (Denial of Service), indem
er speziell praeparierte Pakete erzeugt und an den Daemon sendet.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket scsi-target-utils
Fedora 15
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Timo Schulz
– —
Timo Schulz, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-8890
2011-06-30 18:38:25
– ——————————————————————————–
Name : scsi-target-utils
Product : Fedora 15
Version : 1.0.18
Release : 1.fc15
URL : http://stgt.sourceforge.net/
Summary : The SCSI target daemon and utility programs
Description :
The SCSI target package contains the daemon and tools to setup a SCSI targets.
Currently, software iSCSI targets are supported.
– ——————————————————————————–
Update Information:
fix double-free vulnerability leads to pre-authenticated crash
fix iscsi target outgoing user binding broken unexpectedly
– ——————————————————————————–
ChangeLog:
* Wed Jun 29 2011 Andy Grover
– – Update to new upstream release
– – Remove git-sync patch
* Fri Apr 29 2011 Dan Horák
– – no InfiniBand on s390(x)
* Thu Mar 17 2011 Andy Grover
– – Add git-sync patch to get up to 9c1cd78.
* Thu Mar 17 2011 Andy Grover
– – Update to new upstream release
* Tue Feb 22 2011 Andy Grover
– – Update to new upstream release
– Drop merged snprintf-fix and fix-isns-of patches
– Update dynamic-link-iser patch for new iser module
– Small fixes to redhatify-docs
– ——————————————————————————–
References:
[ 1 ] Bug #667261 – CVE-2011-0001 scsi-target-utils: double-free vulnerability leads to pre-authenticated crash
https://bugzilla.redhat.com/show_bug.cgi?id=667261
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update scsi-target-utils’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)
iQEcBAEBAgAGBQJOGrJnAAoJEJtyb8U7iGZBDvQH/2318ZBPWPY8FMfnaPIh9cZt
qbQ1yWscM2ipBeY93NFW0uDOETePK2hwPORsZRwyEpFQ/A2aDPPma0Y2TPK4QI8Z
8DSoSvPK9Yxp62CQzRJ2acNRUUz1E1uQxgEzEBszQWGOwJjkiW3eKqavQBXhF8cx
Lgm8bsVwuOkq7YHS1fPSr/IWo8I0Bd/bD/E3b9/JifcttKojOp8PkzL2hHCs59IZ
Y3vJ76QK+kSrf1k5E0DOOXSKI00OBSGVx2bVMdVV4c8G0KtJTjQT77s0ukgT0ueS
6tLpzIHa77Cf9wc2BHjZ5OFFeJeTm1tfawySw3zNicE2njr/uz/LR3jm1DCAT8Y=
=p32z
—–END PGP SIGNATURE—–
