—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
Emesene ist ein MSN Messenger Instant-Messaging-Client.
CVE-2010-2053 – Symlink-Schwachstelle in Emesene vor 1.6.2
Emesene verwendet den vorhersagbaren temporaeren Pfad /tmp/emsnpic, um
Bilder zwischenzuspeichern ohne weitere Pruefungen durchzufuehren.
Ein lokaler Angreifer kann diese Schwachstelle durch geeignete
Symlinks ausnutzen, um beliebige Dateien mit den Rechten des Emesene
ausfuehrenden Benutzers zu ueberschreiben. Dies kann zu Datenverlust und
zu einem Denial-of-Service fuehren.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket emesene
Fedora 11
Fedora 12
Fedora 13
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Christian Keil
– —
Dr.-Ing. Christian Keil (Senior Researcher)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-9696
2010-06-08 18:41:55
– ——————————————————————————–
Name : emesene
Product : Fedora 11
Version : 1.6.2
Release : 1.fc11
URL : http://emesene.org
Summary : Instant messaging client for Windows Live Messenger network
Description :
Emesene is a MSN Messenger client writed in Python and
GTK. The main idea is to make a client similar to the official MSN
Messenger client but kepping it simple and with a nice GUI.
Emesene is a python/gtk MSN messenger clone, it uses msnlib (MSNP9)
and try to be a nice looking and simple MSN client.
You can login, send formated messages, smilies, use autoreply, change
status, change nick, send nudges and all the stuff you can do in a
normal MSN client except, file transfers,custom emoticons and display
picture.
– ——————————————————————————–
Update Information:
emesenelib/ProfileManager.py in emesene before 1.6.2 allows local users to
overwrite arbitrary files via a symlink attack on the emsnpic temporary file.
– ——————————————————————————–
ChangeLog:
* Tue Jun 8 2010 Rahul Sundaram
– – Update to 1.6.2. Resolves rhbz#601402 CVE-2010-2053
– – Update spec to match current guidelines
* Fri Jan 15 2010 Allisson Azevedo
– – Update to 1.6.
* Fri Oct 16 2009 Allisson Azevedo
– – Update to 1.5.1.
* Tue Sep 8 2009 Allisson Azevedo
– – Fix libmimic.so location for x86_64 and ppc64.
* Tue Aug 25 2009 Allisson Azevedo
– – Added libmimic to pythonpath.
– – Package own /usr/share/emesene now.
* Tue Aug 25 2009 Allisson Azevedo
– – Added python-devel to BR.
* Tue Aug 25 2009 Rahul Sundaram
– – Rewrite spec file
– – Many new features including experimental support for webcams
– – http://emesene-msn.blogspot.com/2009/08/emesene-15-awesome-has-been-released.html
* Fri Jul 24 2009 Fedora Release Engineering
– – Rebuilt for https://fedoraproject.org/wiki/Fedora_12_Mass_Rebuild
– ——————————————————————————–
References:
[ 1 ] Bug #601401 – CVE-2010-2053 emesene: symlink vulnerability allows overwriting arbitrary files
https://bugzilla.redhat.com/show_bug.cgi?id=601401
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update emesene’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAkwWM0UACgkQWmhIvjFb90UYlwCeP2QTPaIUGboHCTsf8nO6Whfz
jfsAn06A+DAQFaVrtGa/C+4g62dHCBHf
=JrvQ
—–END PGP SIGNATURE—–
