[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Fedora] Schwachstelle im Bluez Bluetooth Protokollstack vor Version 3.34 - FEDORA-2008-6140
-----BEGIN PGP SIGNED MESSAGE-----
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2008-2374 - Schwachstelle im Parser fuer SDP-Pakete in den Bluez
Utilities
Die Bluez Utilities beinhalten einen Fehler im Parser fuer Session
Description Protocol (SDP) Pakete. Der fehlerhafte Parser ueberprueft
nicht die Laenge von Stringfeldern im Paket, was dazu fuehren kann,
dass Daten ueber die Buffergrenze hinaus geschrieben werden. Ein
Angreifer kann diese Schwachstelle ausnutzen um einen Absturz des
HCI-Daemons auszuloesen oder beliebige Befehle mit den Rechten des
Programms auszufuehren.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket bluez, bluez-utils
Fedora 8
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2008-October/msg00396.html
https://www.redhat.com/archives/fedora-package-announce/2008-October/msg00397.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
- --
Michael Groening (Incident Response Team), +49 40 808077-555
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2008-6140
2008-10-16 00:46:15
- --------------------------------------------------------------------------------
Name : bluez-utils
Product : Fedora 8
Version : 3.35
Release : 3.fc8
URL : http://www.bluez.org/
Summary : Bluetooth utilities
Description :
Bluetooth utilities (bluez-utils):
- hcitool
- hciattach
- hciconfig
- hcid
- l2ping
- start scripts (Red Hat)
- pcmcia configuration files
The BLUETOOTH trademarks are owned by Bluetooth SIG, Inc., U.S.A.
- --------------------------------------------------------------------------------
ChangeLog:
* Thu Jul 10 2008 - Will Woods <wwoods@xxxxxxxxxx> - 3.35-3
- - Re-add hid2hci
* Fri Jul 4 2008 - Bastien Nocera <bnocera@xxxxxxxxxx> - 3.35-2
- - Re-add hidd
* Thu Jul 3 2008 - Bastien Nocera <bnocera@xxxxxxxxxx> - 3.35-1
- - Update to 3.35
* Fri Jun 27 2008 - Bastien Nocera <bnocera@xxxxxxxxxx> - 3.34-1
- - Update to 3.34
* Wed Mar 26 2008 - Bastien Nocera <bnocera@xxxxxxxxxx> - 3.20-7
- - Add patch to avoid a kernel oops when switching from HID to HCI mode
(#228755)
* Fri Jan 25 2008 - Bastien Nocera <bnocera@xxxxxxxxxx> - 3.20-6
- - Avoid dund and pand starting too early (#429489)
* Fri Jan 25 2008 - Bastien Nocera <bnocera@xxxxxxxxxx> - 3.20-5
- - Fix hcid trying to find the OUI file somewhere in /var (#428803)
- --------------------------------------------------------------------------------
References:
[ 1 ] Bug #452715 - CVE-2008-2374 bluez-libs: SDP payload processing vulnerability
https://bugzilla.redhat.com/show_bug.cgi?id=452715
- --------------------------------------------------------------------------------
This update can be installed with the "yum" update program. Use
su -c 'yum update bluez-utils' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
iQEVAwUBSPhyxEhXCWfrVVdXAQFdcgf/WZEcVn7yNtYad0ZkaNCVMctJJEk1cV9A
9Fv94JBzcOWAtRcWKjjzl9XOAPwvxigYc9DDqw5Fa+2bxlPOULXfB6aWu6RuMRwL
Fyd3VNKjP2hc8ESu9UBFbvLnPwRs/W9/pxzcf5CWmsmwbw4m687xmkLzOEak6Yf+
tus3tkyyegpgJQP0mG0p6WNFUpJOVeDpyQ5XVePQhws9I0bFJEiVwGy2EzHD0Aqk
LqVnzBbDNmz3EOXMh2JqlmNp52DM2KWNHEaYvYQ9pA/JS7/UMX9toJ+DuGpTw2du
m6dWNoCYrEbS4rukvmSpXx5Udo+WIHxwG5nwjLlaH2fA4n169LmWZQ==
=fbUA
-----END PGP SIGNATURE-----