—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2009-0753 – Schwachstelle in mlDonkey

Das Filesharing-Tool mlDonkey enthaelt eine Schwachstelle die das
Auslesen von Dateien mit den Rechten des Programms ermoeglicht. Ein
Angreifer kann einen HTTP-Request mit einem codierten Dateipfad an den
Server senden und auf diese Weise beliebige Dateien aus dem
Dateisystem des angegriffenen Systems lesen.

Bitte beachten sie, dass ein Exploit fuer diese Schwachstelle
veroeffentlicht wurde.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket mldonkey

Fedora 9
Fedora 10

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00542.html
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00617.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Torsten Voss

– —

Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

16. DFN-Workshop Sicherheit in vernetzten Systemen
https://www.dfn-cert.de/ws2009/

– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-2758
2009-03-16 18:35:11
– ——————————————————————————–

Name : mldonkey
Product : Fedora 10
Version : 3.0.0
Release : 1.fc10
URL : http://mldonkey.sourceforge.net
Summary : Client for several P2P networks
Description :
MLDonkey is a door to the ‘donkey’ network, a decentralized network used to
exchange big files on the Internet. It is written in a wonderful language,
called Objective-Caml, and present most features of the basic Windows donkey
client, plus some more:
– It should work on most UNIX-compatible platforms.
– You can remotely command your client, either by telnet (port 4000),
by a WEB browser (http://localhost:4080), or with a classical client
interface (see http://www.nongnu.org/mldonkey)
– You can connect to several servers, and each search will query all the
connected servers.
– You can select mp3s by bitrates in queries (useful ?).
– You can select the name of a downloaded file before moving it to your
incoming directory.
– You can have several queries in the graphical user interface at the same
time.
– You can remember your old queries results in the command-line interface.
– You can search in the history of all files you have seen on the network.

It can also access other peer-to-peer networks:
– – BitTorrent
– – Fasttrack
– – FileTP (wget-clone)
– – DC++

– ——————————————————————————–
Update Information:

* Fix local file access bug in internal http server * Optimized implementation
of the ip_set module
– ——————————————————————————–
ChangeLog:

– ——————————————————————————–
References:

[ 1 ] Bug #488304 – CVE-2009-0753 mldonkey: arbitrary file read vulnerability
https://bugzilla.redhat.com/show_bug.cgi?id=488304
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update mldonkey’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFJv3Rtk0kIxZMiiQ8RApEzAJ0VcFGNk9H2OPn9hzI0bph+t1RcmACeJQau
RhvfdnWOPChKEeglEzRfhzc=
=/HMJ
—–END PGP SIGNATURE—–