—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
Whatsup verwendet die Expat Bibliothek libexpat.
CVE-2009-3720 – Schwachstelle in der Expat Funktion updatePosition()
Bestimmte Sequenzen von Multibyte Zeichen in UTF-8 Kodierung koennen
dazu fuehren, dass die Funktion updatePosition() aus der Bibliothek
libexpat ueber das Ende der Zeichenkette hinaus liest, was zum Absturz
des Programms fuehrt. Ein Angreifer kann diese Schwachstelle zu einem
Denial of Service Angriff gegen Anwendungen ausnutzen, die die
Bibliothek verwenden.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket whatsup
Fedora 13
Fedora 14
Fedora 15
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
– —
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-2801
2011-03-07 20:38:00
– ——————————————————————————–
Name : whatsup
Product : Fedora 14
Version : 1.12
Release : 1.fc14
URL : https://computing.llnl.gov/linux/whatsup.html
Summary : Node up/down detection utility
Description :
Whatsup is a cluster node up/down detection utility.
Whatsup can quickly calculate and output the up and down nodes of a cluster.
Whatsup allows some tools, such as Pdsh, to operate more quickly by
not operating on down nodes. Whatsup calculates the up and down nodes of a
cluster through one of several possible backend tools
and several optional cluster node databases.
– ——————————————————————————–
ChangeLog:
* Mon Mar 7 2011 Ruben Kerkhof
– – Upstream released new version
– – Link against system-provided expat (#652981)
– – Fixes FTBFS (#661001)
– – Drop patch for incorrect open which was merged upstream
* Thu Sep 30 2010 Dan Horák
– – no InfiniBand on s390(x)
– ——————————————————————————–
References:
[ 1 ] Bug #661001 – FTBFS whatsup-1.10-1.fc14
https://bugzilla.redhat.com/show_bug.cgi?id=661001
[ 2 ] Bug #652981 – libnodeupdown-backend-ganglia contains an embedded copy of expat, prone to CVE-2009-3720
https://bugzilla.redhat.com/show_bug.cgi?id=652981
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update whatsup’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iQEcBAEBAgAGBQJNgIjMAAoJEJtyb8U7iGZBFUEIAKszyFSzl99ylxUgFB+b/AQo
MOoCPFdbRG+A4A85n5uihc1nhGJHRdCwlRo/UP2WnNwgn533wFL2CuXDQhq5NDtp
b89ex7WR4R72ehtDRJNqu5P893qFVO8cuT3SsdTD1uLggyTZZwmDPkOeHMrWXVjb
wsWs4vE5oWqYmky7hnDBPkuHPDvmyJqOqx1r93YRTZusQ1xvKR/N0ve3FGTiBzZA
+SUfFyHefHQ7EnEloPMWQzZYUaBxY3wgVFGg98DasPTHZEWq/ZnqxM6TOt1oog4Z
C3cru0QuHEhCjshAIJVXNI+HX3dTHazFuU9mhoFP1R7gBgm1Y6axNCx7WiptXAs=
=rgsI
—–END PGP SIGNATURE—–
