—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Luci ist eine web-basierte, hochverfuegbare Administrationsanwendung die
auf dem TurboGears 2 Framework aufbaut.

CVE-2010-3852 – Schwachstelle bei der Behandlung von Cookies in Luci

In Luci werden Ticket Cookies nicht sicher behandelt. Ein entfernter
Angreifer, der sich bestimmte Informationen ueber die Umgebung in der
Luci ausgefuehrt wird verschafft, kann diese Schwachstelle ausnutzen, um
die Authentisierungsmechanismen zu umgehen und auf geschuetzte
Ressourcen zugreifen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket luci

Fedora 13
Fedora 12

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-16601
2010-10-22 17:31:37
– ——————————————————————————–

Name : luci
Product : Fedora 12
Version : 0.22.4
Release : 2.0.b9faf868074git.fc12
URL : http://sources.redhat.com/cluster/conga
Summary : Web-based high availability administration application
Description :
Luci is a web-based high availability administration application built on the
TurboGears 2 framework.

– ——————————————————————————–
Update Information:

Fix CVE-2010-3852
– ——————————————————————————–
References:

[ 1 ] Bug #626504 – CVE-2010-3852 Luci: Authentication bypass via fake ticket cookie
https://bugzilla.redhat.com/show_bug.cgi?id=626504
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update luci’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkzRWO0ACgkQWmhIvjFb90X0xgCePYGZ+/R3O7kXPiJ+OngqGzG7
fm0Ani028VyX7TfvFZEgwhKRCmV+Peji
=eDd+
—–END PGP SIGNATURE—–