[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Fedora] Schwachstelle in der Neon Bibliothek bis Version 0.28.2 - FEDORA-2008-7661
-----BEGIN PGP SIGNED MESSAGE-----
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
Neon ist eine HTTP und WebDAV Bibliothek fuer Client-Anwendungen.
CVE-2008-3746 - Null Pointer Referenzierung in der Neon Bibliothek
In der Neon Bibliothek wird unter bestimmten Umstaenden ein Null
Pointer dereferenziert, wenn HTTP Digest Authentifikation verwendet
wird. Ein Angreifer kann diese Schwachstelle ueber das Netz dazu
ausnutzen, die Anwendung, welche die Bibliothek verwendet, zum Absturz
zu bringen (Denial of Service) indem er einen entsprechend aufgebauten
Digest Domain Parameter bei der Authentifikaktion angibt.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket neon
Fedora 9
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2008-October/msg00367.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
- --
Michael Groening (Incident Response Team), +49 40 808077-555
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2008-7661
2008-10-16 00:44:23
- --------------------------------------------------------------------------------
Name : neon
Product : Fedora 9
Version : 0.28.3
Release : 1.fc9
URL : http://www.webdav.org/neon/
Summary : An HTTP and WebDAV client library
Description :
neon is an HTTP and WebDAV client library, with a C interface;
providing a high-level interface to HTTP and WebDAV methods along
with a low-level interface for HTTP request handling. neon
supports persistent connections, proxy servers, basic, digest and
Kerberos authentication, and has complete SSL support.
- --------------------------------------------------------------------------------
Update Information:
This update includes the latest release of neon, fixing a security issue in the
Digest authentication domain parameter support.
- --------------------------------------------------------------------------------
ChangeLog:
* Thu Aug 28 2008 Joe Orton <jorton@xxxxxxxxxx> 0.28.3-1
- - update to 0.28.3 (CVE-2008-3746, #460415)
- --------------------------------------------------------------------------------
References:
[ 1 ] Bug #459620 - CVE-2008-3746 neon: NULL ptr dereference in the Digest authentication support (DoS possible)
https://bugzilla.redhat.com/show_bug.cgi?id=459620
- --------------------------------------------------------------------------------
This update can be installed with the "yum" update program. Use
su -c 'yum update neon' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
iQEVAwUBSPhzAEhXCWfrVVdXAQGmowf/Uu8yrVMhprWGpZObcLdMVYzdu4NEM4aw
FushSurxYLsoQfXmFrGKSUJGibuHpo3ilVs73j7IqTyc+o3ONBFVQ9PKkkM7v1I6
r7IxzH6yvW3bJW0Zn+5dB7OJ++uZiHe4k7AWBoWncfhorePDvnBER+EeFswyell+
QqEyX7NH6Lgv2b8SDHT0FYWuxq+yWdgj1v/pafgxWGZux+f/tEqSsyTSAr8rT/IG
M/VXsudijepCeb07oRh97b2OvyMUWfzuZNDfstQxy5cAWHYGG2N2oKc2s3AgGsSX
iFIS8Vuw67ch1+4k5a/0M+Ixslkbs1H3Hry8Qptgx4PDzhSextGGJg==
=xRTc
-----END PGP SIGNATURE-----