—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
RedHat Bug ID 526432 – Verwendung einer veralteten Kopie der Bibliothek
zlib
deltarpm bis Version 3.4 wurde im Paket mit einer veralteten Kopie der
zlib ausgeliefert; diese enthaelt die bekannte Schwachstelle
CVE-2005-1849.
CVE-2005-1849 – Buffer-Overflow in der zlib
In der Bibliothek zlib kann beim Verarbeiten fehlerhafter Eingabedaten
ein Buffer Overflow auftreten, der die Bibliothek zum Absturz bringt.
Die Ausfuehrung von Befehlen mit den Rechten des Anwenders ist
potentiell moeglich. Hierzu muss der Angreifer den Nutzer dazu bringen
auf eine speziell bearbeitete Datei zuzugreifen, die die Schwachstelle
ausnutzt.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket deltarpm
Fedora 10
Fedora 11
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-October/msg00277.html
https://www.redhat.com/archives/fedora-package-announce/2009-October/msg00298.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
– —
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-10237
2009-10-03 17:54:32
– ——————————————————————————–
Name : deltarpm
Product : Fedora 11
Version : 3.4
Release : 17.fc11
URL : http://www.novell.com/products/linuxpackages/professional/deltarpm.html
Summary : Create deltas between rpms
Description :
A deltarpm contains the difference between an old
and a new version of a rpm, which makes it possible
to recreate the new rpm from the deltarpm and the old
one. You don’t have to have a copy of the old rpm,
deltarpms can also work with installed rpms.
– ——————————————————————————–
Update Information:
deltarpm prior to the current build ships with a bundled copy of zlib. This
version of zlib has a known vulnerability with CVE identifier: CAN-2005-1849
This build of deltarpm patches the program to use the system zlib (which was
fixed when the vulnerability was first discovered) instead of the bundled copy.
– ——————————————————————————–
ChangeLog:
* Wed Sep 30 2009 Toshio Kuratomi
– – Work around cvs tag problem
* Wed Sep 30 2009 Toshio Kuratomi
– – Build against the system zlib, not the bundled library. This remedies the
fact that the included zlib is affected by CAN-2005-1849.
– – Fix cfile_detect_rsync() to detect rsync even if we don’t have a zlib capable
of making rsync-friendly compressed files.
– ——————————————————————————–
References:
[ 1 ] Bug #526432 – deltarpm contains an own, modified copy of zlib
https://bugzilla.redhat.com/show_bug.cgi?id=526432
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update deltarpm’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFKzxh4k0kIxZMiiQ8RApo7AJ43QHPeN/Fl2hKVlGXfFXIT5aAq/gCeKZ4+
J4AAJ98xqx65WYZaDut3WHk=
=gINH
—–END PGP SIGNATURE—–
