—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-1666 – Denial of Service Schwachstelle Pythonmodul CJSON
Das Paket CJSON enthaelt eine Schwachstelle bei der Verarbeitung von
Unicode-Symbolen. Dabei wird die Laenge eines Stringbuffers bei der
Ausnahmebehandlung von Multibyte Unicode-Zeichen nicht angepasst, was
zu einem Buffer-Overflow fuehrt und einen Absturz der Anwendung nach
sich zieht. Ein Angreifer kann diese Schwachstelle ausnutzen um Denial
of Service Angriffe auf betroffene Anwendungen durchzufuehren.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket python
Fedora 12
Fedora 13
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
– —
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-10728
2010-07-06 16:21:27
– ——————————————————————————–
Name : python-cjson
Product : Fedora 13
Version : 1.0.5
Release : 5.fc13
URL : http://pypi.python.org/pypi/python-cjson
Summary : Fast JSON encoder/decoder for Python
Description :
JSON stands for JavaScript Object Notation and is a text based lightweight
data exchange format which is easy for humans to read/write and for machines
to parse/generate. JSON is completely language independent and has multiple
implementations in most of the programming languages, making it ideal for
data exchange and storage.
The module is written in C and it is up to 250 times faster when compared to
the other python JSON implementations which are written directly in python.
This speed gain varies with the complexity of the data and the operation and
is the the range of 10-200 times for encoding operations and in the range of
100-250 times for decoding operations.
– ——————————————————————————–
ChangeLog:
* Sat Jul 3 2010 Felix Schwarz
– – CVE-2010-1666 (fixed by including a patch from Ubuntu, see Launchpad 585274)
– ——————————————————————————–
References:
[ 1 ] Bug #610877 – CVE-2010-1666 python-cjson: Buffer overflow (crash) when encoding wide Unicode characters on UTF-32/UCS-4
https://bugzilla.redhat.com/show_bug.cgi?id=610877
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update python-cjson’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAkxG7UQACgkQWmhIvjFb90WilQCfR32msKp1wMCXfVUGxdzaP6LP
DtcAoJKXaofM4QjAD8FIffWejefJ2LJZ
=IvZQ
—–END PGP SIGNATURE—–
