[Fedora] Schwachstelle in Open DC Hub – FEDORA-2010-6478

[Fedora] Schwachstelle in Open DC Hub - FEDORA-2010-6478

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Open DC Hub ist ein Server fuer das DirectConnect File Sharing
Protokoll.

CVE-2010-1147 – Schwachstelle in Open DC Hub ermoeglicht Codeausfuehrung

Open DC Hub fuehrt bei der Bearbeitung von MyInfo-Nachrichten nur eine
unzureichende Filterung von unzulaessigen Zeichen durch. Werden
Nachrichten verarbeitet, die spezielle Metazeichen enthalten, kann
dies einen Stack Overflow ausloesen. Ein Angreifer kann diese
Schwachstelle ausnutzen um beliebige Befehle mit den Rechten der
Anwendung auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket opendchub

Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-April/040360.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-6478
2010-04-13 00:36:40
– ——————————————————————————–

Name : opendchub
Product : Fedora 13
Version : 0.8.2
Release : 2.fc13
URL : http://opendchub.sourceforge.net
Summary : An Open Source Linux/Unix version of the hub software for Direct Connect
Description :
Opendchub is the hub software for Direct Connect P2P network.

– ——————————————————————————–
Update Information:

Fix for stack overflow bug. CVE ID: CVE-2010-1147
– ——————————————————————————–
References:

[ 1 ] Bug #579206 – CVE-2010-1147 OpenDCHub v0.8.1: Stack overflow by handling a specially-crafted MyINFO message
https://bugzilla.redhat.com/show_bug.cgi?id=579206
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update opendchub’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFL2XupWmhIvjFb90URAlL4AJ9Sknmu/AXdPbbObQRASNFq14Z7NQCcC+I1
WT+0YbF/TlLH35yAg8SdKh4=
=DWRQ
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben