—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2009-0667 – Schwachstelle im OCS Inventory NG Agent
Der OCS Inventory NG Agent schliesst das aktuelle Verzeichnis in den
Standard-Suchpfad fuer Perl Module ein. Da der Agent standardmaessig
ueber Cron im Wurzelverzeichnis startet, wird jedes Verzeichnis im
System nach zu verwendenden Perl-Modulen durchsucht. Ein lokaler
Angreifer kann diese Schwachstelle mit einem manipulierten
ocsinventory-agent Perl-Modul ausnutzen um beliebige Befehle mit den
Rechten der Anwendung zur Ausfuehrung zu bringen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket ocsinventory
Fedora 13
Fedora 12
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
– —
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-16334
2010-10-14 22:40:51
– ——————————————————————————–
Name : ocsinventory-agent
Product : Fedora 12
Version : 1.1.2.1
Release : 1.fc12
URL : http://www.ocsinventory-ng.org/
Summary : Open Computer and Software Inventory Next Generation client
Description :
Open Computer and Software Inventory Next Generation is an application
designed to help a network or system administrator keep track of computer
configuration and software installed on the network.
It also allows deploying softwares, commands or files on Windows and
Linux client computers.
ocsinventory-agent provides the client for Linux (Unified Unix Agent).
– ——————————————————————————–
Update Information:
* security update for CVE-2009-0667
http://bugs.debian.org/590879
http://www.debian.org/security/2009/dsa-1828
– ——————————————————————————–
ChangeLog:
* Wed Oct 13 2010 Remi Collet
– – security update for CVE-2009-0667
http://bugs.debian.org/590879
http://www.debian.org/security/2009/dsa-1828
– – remove perl-XML-SAX optional dep, which is broken on EL5
and cause overload when installed on the OCS server
* Sun Jan 3 2010 Remi Collet
– – update to 1.1.2
– – missing perl(Net::IP) requires (+ some EL3 stuff: yes, I know)
* Tue Dec 22 2009 Remi Collet
– – update to 1.1.1
* Sat Nov 28 2009 Remi Collet
– – add Requires: which
* Sat Nov 7 2009 Remi Collet
– – update to 1.1
– – add missing modules.conf
– – new Requires perl(Net::SSLeay), perl(Crypt::SSLeay), smartmontools
– – download URL to launchpad
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update ocsinventory-agent’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAkzFiuIACgkQWmhIvjFb90UQlACfc43E7IYtoll0+fIkd41QyeHI
KkUAniUx0Q55kHDdpBq900BImC28aQYG
=9Nsp
—–END PGP SIGNATURE—–
