—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2009-0037 – Schwachstelle in cURL und libcURL
Das Programm cURL und die Bibliothek libcURL enthaelt eine
Schwachstelle bei der Implementierung von HTTP Redirects. Ist die
Option ‘CURLOPT_FOLLOWLOCATION’ aktiviert kann ein entfernter
Webserver einen Redirect einer ‘http://’ URL auf einen anderen
Intranetserver oder eine ‘file://’ URL veranlassen, welche auf das
lokale Dateisystem verweist.
Ueber eine Erweiterung des Programms, welche der Unterstuetzung von
Secure Copy (scp) dient ist es ausserdem moeglich beliebige Befehle
auf dem System auszufuehren.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket curl
Fedora 9
Fedora 10
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00196.html
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00195.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —
Michael Groening (Incident Response Team), +49 40 808077-555
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
16. DFN-Workshop Sicherheit in vernetzten Systemen
https://www.dfn-cert.de/ws2009/
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-2247
2009-03-03 14:58:08
– ——————————————————————————–
Name : curl
Product : Fedora 10
Version : 7.19.4
Release : 1.fc10
URL : http://curl.haxx.se/
Summary : A utility for getting files from remote servers (FTP, HTTP, and others)
Description :
cURL is a tool for getting files from HTTP, FTP, FILE, LDAP, LDAPS,
DICT, TELNET and TFTP servers, using any of the supported protocols.
cURL is designed to work without user interaction or any kind of
interactivity. cURL offers many useful capabilities, like proxy support,
user authentication, FTP upload, HTTP post, and file transfer resume.
– ——————————————————————————–
Update Information:
Update to curl-7.19.4 fixes CVE-2009-0037.
– ——————————————————————————–
ChangeLog:
* Tue Mar 3 2009 Jindrich Novy
– – update to 7.19.4 (fixes CVE-2009-0037)
– – fix leak in curl_easy* functions, thanks to Kamil Dudka
– – drop nss-proxy, sslgen, nss-init patches
– – update badsocket patch
* Mon Dec 15 2008 Jindrich Novy
– – release++ because of tag conflict caused by f10/rawhide branch split
* Sun Dec 14 2008 Jindrich Novy
– – use improved NSS patch, thanks to Rob Crittenden (#472489)
– ——————————————————————————–
References:
[ 1 ] Bug #485271 – CVE-2009-0037 curl: local file access via unsafe redirects
https://bugzilla.redhat.com/show_bug.cgi?id=485271
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update curl’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFJsRmjk0kIxZMiiQ8RAk8uAJ9B9V8idn3e9IWRv4LOJ3G9llrkjACglPsN
FJJWypwlSknU3klc0JRohss=
=0Nmp
—–END PGP SIGNATURE—–
