[Sec-cert] [Fedora] Schwachstelle in StarDict bis einschliesslich Version 3.0.1 - FEDORA-2010-0012

WiN Site Security Contacts win-sec-ssc at lists.dfn-cert.de
Mo Jan 4 16:21:05 CET 2010


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2009-2260 - StarDict sendet Clipboard Inhalt an Dictionary Server

  Das Programm StarDict sendet den Inhalt des Clipboards an den
  Dictionary Server. Angreifer, die einen Dictionary Server
  kontrollieren oder den Netzwerkverkehr zum Server abhoeren koennen,
  koennen so an evtl. vertrauliche Informationen gelangen. Um die
  Schwachstelle ausnutzen zu koennen, muss die Option "Enable Net Dict"
  aktiviert sein.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket stardict

  Fedora 12

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  https://www.redhat.com/archives/fedora-package-announce/2010-January/msg00121.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
		Klaus Moeller, DFN-CERT

- -- 
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

DFN-CERT Services GmbH, https://www.dfn-cert.de,  Phone  +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805,  Ust-IdNr.:  DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

17. DFN Workshop    "Sicherheit in vernetzten Systemen"    09./10.02.2010
Informationen unter https://www.dfn-cert.de/veranstaltungen/workshop.html

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-0012
2010-01-02 02:50:39
- --------------------------------------------------------------------------------

Name        : stardict
Product     : Fedora 12
Version     : 3.0.1
Release     : 20.fc12
URL         : http://stardict.sourceforge.net
Summary     : A powerful dictionary platform written in GTK+2
Description :
StarDict is a Cross-Platform and international dictionary written in Gtk2.
It has powerful features such as "Glob-style pattern matching,"
"Scan selection word," "Fuzzy query," etc.

- --------------------------------------------------------------------------------
ChangeLog:

* Sun Dec 27 2009 Caius 'kaio' Chance <k at kaio.me> - 3.0.1-20
- - Disable netdict by default and add warnings for such option.
* Thu Dec 17 2009 Caius 'kaio' Chance <k at kaio.me> - 3.0.1-19
- - Resolves: rhbz#475904: Disabled espeak for instance as espeak has problems when it is built with pulseaudio.
- --------------------------------------------------------------------------------
References:

  [ 1 ] Bug #508945 - CVE-2009-2260 stardict: network queries may expose sensitive information
        https://bugzilla.redhat.com/show_bug.cgi?id=508945
- --------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update stardict' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLQgdhk0kIxZMiiQ8RAuw1AJ9peXsAH4Ort1XfJZ3mHgrRxvvmogCfRXjS
Q/Hovuq+9Dp3Vh0w/yrM+D8=
=V1L8
-----END PGP SIGNATURE-----



Mehr Informationen über die Mailingliste Sec-cert