[Fedora] Schwachstelle in Freeciv vor Version 2.2.1 bzw. 2.3 – FEDORA-2010-12262

[Fedora] Schwachstelle in Freeciv vor Version 2.2.1 bzw. 2.3 - FEDORA-2010-12262

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-2445 – Schwachstelle in der Freeciv LUA Skriptfunktionalitaet

In Freeciv vor Version 2.2.1 bzw. 2.3.0 koennen LUA Skripte die fuer
Statusaenderungen im Spiel bestimmt sind auf beliebige Dateien
ausserhalb des Spieles zugreifen und zudem beliebige Befehle ausfuehren.
Im Einzelnen sind folgende LUA Module und Funktionen betroffen: “os”,
“io”, “package”, “dofile”, “loadfile”, “module” und “require”. Ein
entfernter Angreifer kann diese Schwachstelle ausnutzen um
schlimmstenfalls beliebige Befehle mit den Rechten des Anwenders zur
Ausfuehrung zu bringen, wenn es ihm gelingt diesen zum Gebrauch
manipulierter Skripte zu verleiten.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket freeciv

Fedora 12
Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Torsten Voss

– —

Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-12262
2010-08-07 22:45:54
– ——————————————————————————–

Name : freeciv
Product : Fedora 12
Version : 2.2.2
Release : 1.fc12
URL : http://freeciv.wikia.com/index.php/Freeciv
Summary : A multi-player strategy game
Description :
Freeciv is a turn-based, multi-player, X based strategy game. Freeciv
is generally comparable to, and has compatible rules with, the
Civilization II(R) game by Microprose(R). In Freeciv, each player is
the leader of a civilization, and is competing with the other players
in order to become the leader of the greatest civilization.

– ——————————————————————————–
Update Information:

A lot of fixes and updates, including a security fix. Fixes #612296
– ——————————————————————————–
ChangeLog:

* Mon Aug 2 2010 Thomas Janssen 2.2.2-1
– – security fix https://www.redhat.com/security/data/cve/CVE-2010-2445.html
– – fixes #612296
* Sun Jun 6 2010 Thomas Janssen 2.2.0-2
– – security fix http://gna.org/bugs/?15624
– – #600742 #600743 #600744
* Tue Mar 2 2010 Thomas Janssen 2.2.0-1
– – New upstream source 2.2.0
* Fri Jan 29 2010 Brian Pepple – 2.1.11-1
– – Update to 2.1.11.
* Fri Dec 11 2009 Brian Pepple – 2.1.10-1
– – Update to 2.1.10.
– ——————————————————————————–
References:

[ 1 ] Bug #612296 – CVE-2010-2445 freeciv: arbitrary file disclosure and command execution vulnerabilities
https://bugzilla.redhat.com/show_bug.cgi?id=612296
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update freeciv’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkxuUCUACgkQWmhIvjFb90UgdACbB6mSl080SY6AcnBHV2T2MVyw
OVcAnRw3SpyGd1e4fUbjLP+rcyi5Uomh
=ZALn
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben