[Sec-cert] [Fedora] Schwachstelle in Transmission vor Version 1.77 - FEDORA-2010-0197

WiN Site Security Contacts win-sec-ssc at lists.dfn-cert.de
Mi Jan 13 16:35:06 CET 2010


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.


Transmission ist ein Bittorrent Client.


CVE-2010-0012 / RedHat Bug ID 552424 - Unzureichende Pruefung von
Dateinamen in Transmission

  Das Programm Transmission ueberprueft die in .torrent Dateien
  enthaltenen Dateinamen nicht ausreichend, was es Angreifern
  ermoeglicht, dort beliebige Dateinamen anzugeben, die vom Client
  ueberschrieben werden. Dazu muss der Angreifer den Benutzer dazu
  bringen, eine von ihm erstellte .torrent Datei zu oeffnen.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket transmission

  Fedora 12

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  http://lists.fedoraproject.org/pipermail/package-announce/2010-January/033881.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
		Klaus Moeller, DFN-CERT

- -- 
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

DFN-CERT Services GmbH, https://www.dfn-cert.de,  Phone  +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805,  Ust-IdNr.:  DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

17. DFN Workshop    "Sicherheit in vernetzten Systemen"    09./10.02.2010
Informationen unter https://www.dfn-cert.de/veranstaltungen/workshop.html

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-0197
2010-01-05 22:30:05
- --------------------------------------------------------------------------------

Name        : transmission
Product     : Fedora 12
Version     : 1.77
Release     : 1.fc12
URL         : http://www.transmissionbt.com/
Summary     : A lightweight GTK+ BitTorrent client
Description :
Transmission is a free, lightweight BitTorrent client. It features a
simple, intuitive interface on top on an efficient, cross-platform
back-end.

- --------------------------------------------------------------------------------
Update Information:

Fix potential data loss by maliciously-crafted .torrent files.
http://trac.transmissionbt.com/wiki/Changes#version-1.77
- --------------------------------------------------------------------------------
ChangeLog:

* Tue Jan  5 2010 Rahul Sundaram <sundaram at fedoraproject.org> - 1.77-1
- - Fix potential data loss by maliciously-crafted .torrent files
- - http://trac.transmissionbt.com/wiki/Changes#version-1.77
- --------------------------------------------------------------------------------
References:

  [ 1 ] Bug #552424 - Update to Transmission 1.77 needed
        https://bugzilla.redhat.com/show_bug.cgi?id=552424
- --------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update transmission' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLTegqWmhIvjFb90URAvitAJ9R49offJpE0M2NAvUqAgpdljtnFwCeN4x6
sBedJ3WWk4oHMT3u5KzwXZU=
=Hdca
-----END PGP SIGNATURE-----



Mehr Informationen über die Mailingliste Sec-cert