[Sec-cert] [Fedora] Schwachstelle in Systemtap - FEDORA-2010-0688

WiN Site Security Contacts win-sec-ssc at lists.dfn-cert.de
Mo Jan 18 17:31:12 CET 2010


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2009-4273 - Schwachstelle im stap-server

  Im stap-server, einem optionalen Element von SystemTap, das in Teilen
  in Shellscript geschrieben ist, werden Benutzereingaben nicht angemessen
  gefiltert. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen
  um beliebige Befehle mit den Rechten des Server Prozesses zur
  Ausfuehrung zu bringen.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket systemtap

  Fedora 11
  Fedora 12

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  http://lists.fedoraproject.org/pipermail/package-announce/2010-January/034036.html
  http://lists.fedoraproject.org/pipermail/package-announce/2010-January/034041.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
		Klaus Moeller, DFN-CERT

- -- 
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

DFN-CERT Services GmbH, https://www.dfn-cert.de,  Phone  +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805,  Ust-IdNr.:  DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

17. DFN Workshop    "Sicherheit in vernetzten Systemen"    09./10.02.2010
Informationen unter https://www.dfn-cert.de/veranstaltungen/workshop.html

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-0688
2010-01-17 02:18:48
- --------------------------------------------------------------------------------

Name        : systemtap
Product     : Fedora 12
Version     : 1.1
Release     : 1.fc12
URL         : http://sourceware.org/systemtap/
Summary     : Instrumentation System
Description :
SystemTap is an instrumentation system for systems running Linux 2.6.
Developers can write instrumentation to collect data on the operation
of the system.

- --------------------------------------------------------------------------------
Update Information:

Fixes CVE-2009-4273 (Bugzilla 550172):
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-4273    New upstream
release containing new features and bug fixes:      better support for gcc 4.5
richer DWARF debuginfo, new preprocessor    conditional for kernel 'CONFIG_*'
testing, improved (experimental)    unprivileged user support, new tapsets,
better local-vs-global    variable warnings, better return codes, bug fixes, and
more...    http://sourceware.org/ml/systemtap/2010-q1/msg00142.html
- --------------------------------------------------------------------------------
ChangeLog:

* Mon Dec 21 2009 David Smith <dsmith at redhat.com> - 1.1-1
- - Upstream release.
- --------------------------------------------------------------------------------
References:

  [ 1 ] Bug #550172 - CVE-2009-4273 systemtap: remote code execution via stap-server
        https://bugzilla.redhat.com/show_bug.cgi?id=550172
- --------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update systemtap' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLVIzQWmhIvjFb90URAhy4AJ4/y+whYVP6mm7ltZItxHscr/+CUACfWqA6
YiQzGYovuQBA3PoAtlVeUXo=
=q+oA
-----END PGP SIGNATURE-----



Mehr Informationen über die Mailingliste Sec-cert