—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2009-3894 – Unsicherere Suchpfade in dstat
Das Programm dstat bezieht das aktuelle Verzeichnis und dessen
Unterverzeichnis “profile” (so es existiert) in den Suchpfad
(sys.path) fuer Python Module mit ein. Ein lokaler Angreifer kann diese
Schwachstelle dazu ausnutzen, beliebigen Code mit den Rechten des
Benutzers auszufuehren, wenn er ihn dazu bringen kann, dstat in einem
von ihm beschreibbaren Verzeichnis aufzurufen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket dstat
Fedora 11
Fedora 12
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-December/msg00343.html
https://www.redhat.com/archives/fedora-package-announce/2009-December/msg00358.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
– —
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
17. DFN Workshop “Sicherheit in vernetzten Systemen” 09./10.02.2010
Informationen unter https://www.dfn-cert.de/veranstaltungen/workshop.html
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-12674
2009-12-04 22:41:38
– ——————————————————————————–
Name : dstat
Product : Fedora 12
Version : 0.7.0
Release : 1.fc12
URL : http://dag.wieers.com/home-made/dstat/
Summary : Versatile resource statistics tool
Description :
Dstat is a versatile replacement for vmstat, iostat, netstat and ifstat.
Dstat overcomes some of their limitations and adds some extra features,
more counters and flexibility. Dstat is handy for monitoring systems
during performance tuning tests, benchmarks or troubleshooting.
Dstat allows you to view all of your system resources instantly, you
can eg. compare disk usage in combination with interrupts from your
IDE controller, or compare the network bandwidth numbers directly
with the disk throughput (in the same interval).
Dstat gives you detailed selective information in columns and clearly
indicates in what magnitude and unit the output is displayed. Less
confusion, less mistakes.
– ——————————————————————————–
Update Information:
This release fixes above mentioned security issue, adds several enhancements and
fixes few other bugs. For complete information, please see changelog.
– ——————————————————————————–
ChangeLog:
* Thu Dec 3 2009 Jan Zeleny
– – rebased to 0.7.0
– ——————————————————————————–
References:
[ 1 ] Bug #538459 – CVE-2009-3894 dstat insecure module search path
https://bugzilla.redhat.com/show_bug.cgi?id=538459
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update dstat’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFLHSTDk0kIxZMiiQ8RAiGHAJ9MePitIuBmDN9ahHYd/x7FVK78AACfdL8D
P006UpW/WtrpotyYYSk9/MU=
=WRkE
—–END PGP SIGNATURE—–
