—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2009-2412 – Integer Overflows in den Bibliotheken apr und apr-util
In den Bibliotheken apr (Apache Portable Runtime) und apr-util koennen
mehrere Integer Overflows auftreten. Die Funktionen allocator_alloc(),
apr_pcalloc() und apr_palloc() (aus: apr_pools.c), sowie
apr_rmm_malloc(), apr_rmm_calloc() und apr_rmm_realloc() (aus:
util-misc/apr_rmm.c) weisen Groessen nicht richtig zu und koennen
hierdurch Integer Overflows ausloesen. Ein entfernter Angreifer kann
diese Schwachstelle ausnutzen, um beliebige Befehle mit den Rechten
der Anwendung, die diese Bibliotheken verwendet, zur Ausfuehrung zu
bringen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Pakete apr und apr-util
Fedora 10
Fedora 11
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00353.html
https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00320.html
https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00299.html
https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00342.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT
– —
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-8349
2009-08-07 04:36:29
– ——————————————————————————–
Name : apr-util
Product : Fedora 11
Version : 1.3.9
Release : 1.fc11
URL : http://apr.apache.org/
Summary : Apache Portable Runtime Utility library
Description :
The mission of the Apache Portable Runtime (APR) is to provide a
free library of C data structures and routines. This library
contains additional utility interfaces for APR; including support
for XML, LDAP, database interfaces, URI parsing and more.
– ——————————————————————————–
Update Information:
CVE-2009-2412: allocator alignment fixes Full details here:
http://www.apache.org/dist/apr/patches/
– ——————————————————————————–
ChangeLog:
* Thu Aug 6 2009 Bojan Smojver
– – bump up to 1.3.9
– – CVE-2009-2412
– – allocator alignment fixes
– – disable DBM-drivers-as-DSO support
* Mon Jun 8 2009 Bojan Smojver
– – bump up to 1.3.7
– – CVE-2009-0023
– – “billion laughs” fix of apr_xml_* interface
– ——————————————————————————–
References:
[ 1 ] Bug #515698 – CVE-2009-2412 apr, apr-util: Integer overflows in memory pool (apr) and relocatable memory (apr-util) management
https://bugzilla.redhat.com/show_bug.cgi?id=515698
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update apr-util’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFKfCVfk0kIxZMiiQ8RAhqcAJ9zAMZLTEnlJJlTVfi7D32j3sORNACcCmzL
k3ZMg10j2GygO2IPjbhIZOg=
=3uF1
—–END PGP SIGNATURE—–
