—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
Nip2 ist ein graphisches Frontend fuer das Paket VIPS.
CVE-2010-3364 – Schwachstelle in der Bibliothek VIPS
Bei Verwendung der Bibliothek VIPS werden Verzeichnispfade in unsicherer
Weise gesetzt. In die Umgebungsvariable LD_LIBRARY_PATH kann auch ein
leerer Eintrag geschrieben werden, wenn kein Pfad gesetzt wurde. Durch
ld.so wird diese Umgebungsvariable so ausgewertet, dass ein leerer
Eintrag als das gegenwaertige Arbeitsverzeichnis interpretiert wird. Ein
lokaler Angreifer dem es gelingt, Benutzer zum Start der Anwendung aus
einem Verzeichnis in dem eine manipulierte Bibliotheksdatei mit
bestimmtem Namen hinterlegt wurde zu verleiten, kann diese Schwachstelle
ausnutzen, um beliebige Befehle mit dessen Rechten auszufuehren.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket nip2
Fedora 16
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT
– —
Dipl. Inform. Klaus Moeller (Project Development Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556
DFN-CERT Services GmbH, https://www.dfn-cert.de/, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-10769
2011-08-12 20:34:20
– ——————————————————————————–
Name : nip2
Product : Fedora 16
Version : 7.24.2
Release : 1.fc16
URL : http://www.vips.ecs.soton.ac.uk/
Summary : Interactive tool for working with large images
Description :
nip2 is a graphical front end to the VIPS package.
With nip2, rather than directly editing images, you build
relationships between objects in a spreadsheet-like fashion. When you
make a change somewhere, nip2 recalculates the objects affected by
that change. Since it is demand-driven this update is very fast, even
for very, very large images. nip2 is very good at creating pipelines
of image manipulation operations. It is not very good for image
editing tasks like touching up photographs. For that, a tool like the
GIMP should be used instead.
– ——————————————————————————–
Update Information:
7.24 series.
Run-time code generation
Open via disc mode
Workspace as Graph mode for nip2
FITS image format
VIPS rewrite
Better nibs in paintbox
Better TIFF and JPEG load
– ——————————————————————————–
References:
[ 1 ] Bug #645471 – CVE-2010-3364 vips: insecure library loading vulnerability
https://bugzilla.redhat.com/show_bug.cgi?id=645471
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update nip2’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)
iQEcBAEBAgAGBQJOVP4LAAoJEJtyb8U7iGZBGycIAKp7IR2Y8t2MOLnLobnBt5Cl
KFhRwwOO/oqgSH33SDBJ7TrTq5YVfOtKUSvackX3g8devBqw4MMXu+JjW/BaWSoV
PjS/F8c+oemJ0998rg8xi/lIK8fOGczLPySaCT0ax36TLMdaiAkEd7ch8ne4NTnM
OOTH6n7BOSC7CA8V35tQWpnbLo5qTSiZbk28R/le8KNioQPmsxLe/BbthcwmUpVr
LPSVQ00ZDHguWzXtN0G0GQzpJKaVnykPEuG/V7wQ4P/hu+X+HUtcloQdKYrsT3FM
vJQUARQS5goDfKIwOdCDPIhC7zmXSKaDPkPoGBoWMXx7HMq8yuhdUbsw16sa02M=
=ZZzy
—–END PGP SIGNATURE—–
