[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Fedora] Schwachstellen im ZNC IRC Bouncer - FEDORA-2010-12481
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-2934 - Schwachstelle in ZNC
Der ZNC IRC Bouncer enthaelt mehrere unsichere Verwendungen von
substr() die zum Zugriff auf unbenutzte Speicherbereiche fuehren koennen.
Ein entfernter Angreifer kann diese Schwachstelle zum Absturz des
Systems ausnutzen (Denial of Service).
CVE-2010-2812 - Schwachstelle in ZNC bei "PING" Kommando
In dem IRC-Bouncer ZNC wird versucht bei einem empfangenen "PING" ohne
Argument auf einen nicht vorhandenen Puffer zuzugreifen. Ein
entfernter Angreifer kann diese Schwachstelle ausnutzen um das
Programm zu beenden (Denial of Service), indem er ein "Ping" an einen
betroffenen ZNC versendet.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket znc
Fedora 12
Fedora 13
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Torsten Voss
- --
Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-12481
2010-08-11 06:59:52
- --------------------------------------------------------------------------------
Name : znc
Product : Fedora 13
Version : 0.093
Release : 2.svn2101.fc13
URL : http://znc.sf.net/
Summary : An advanced IRC bouncer
Description :
ZNC is an IRC bouncer with many advanced features like detaching,
multiple users, per channel playback buffer, SSL, IPv6, transparent
DCC bouncing, Perl and C++ module support to name a few.
- --------------------------------------------------------------------------------
Update Information:
Update to znc 0.093 svn2101 to fix: CVE-2010-2812 and CVE-2010-2934 znc:
multiple out-of-range errors can crash znc Update to 0.092
- --------------------------------------------------------------------------------
ChangeLog:
* Tue Aug 10 2010 Nick Bebout <nb@xxxxxxxxxxxxxxxxx> - 0.093-2.svn2101
- - Update to znc 0.093.svn2101 to fix CVE-2010-2812 and CVE-2010-2934
* Tue Aug 3 2010 Nick Bebout <nb@xxxxxxxxxxxxxxxxx> - 0.093-1.svn2098
- - Update to znc 0.093 svn2098
* Wed Jul 14 2010 Nick Bebout <nb@xxxxxxxxxxxxxxxxx> - 0.092-1
- - Update to znc 0.092
* Wed Jun 16 2010 Nick Bebout <nb@xxxxxxxxxxxxxxxxx> - 0.090-2
- - Backport r2026 of ZNC subversion repo to fix bug 603915
- - NULL pointer dereference flaw leads to segfault under certain conditions
* Sun Jun 6 2010 Nick Bebout <nb@xxxxxxxxxxxxxxxxx> - 0.090-1
- - Update to znc 0.090
* Thu May 27 2010 Nick Bebout <nb@xxxxxxxxxxxxxxxxx> - 0.090-0.1.rc1
- - Update to znc 0.090-rc1
* Thu May 27 2010 Nick Bebout <nb@xxxxxxxxxxxxxxxxx> - 0.089-7.svn2004
- - Update to znc 0.089.svn2004
* Tue May 18 2010 Nick Bebout <nb@xxxxxxxxxxxxxxxxx> - 0.089-6.svn2000
- - Re-enable saslauth
* Tue May 18 2010 Nick Bebout <nb@xxxxxxxxxxxxxxxxx> - 0.089-5.svn2000
- - Re-enable modperl
* Tue May 18 2010 Nick Bebout <nb@xxxxxxxxxxxxxxxxx> - 0.089-4.svn2000
- - Update to znc 0.089.svn2000
* Sun Apr 25 2010 Nick Bebout <nb@xxxxxxxxxxxxxxxxx> - 0.089-3.svn1944
- - Update to znc 0.089.svn1944
* Wed Apr 7 2010 Nick Bebout <nb@xxxxxxxxxxxxxxxxx> - 0.081-2.svn1897
- - Update to znc 0.081.svn1897
* Mon Mar 29 2010 Nick Bebout <nb@xxxxxxxxxxxxxxxxx> - 0.081-1.svn1850
- - Update to znc 0.081.svn1850
- --------------------------------------------------------------------------------
References:
[ 1 ] Bug #622600 - CVE-2010-2812 CVE-2010-2934 znc: multiple out-of-range errors can crash znc
https://bugzilla.redhat.com/show_bug.cgi?id=622600
- --------------------------------------------------------------------------------
This update can be installed with the "yum" update program. Use
su -c 'yum update znc' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAkxjyVgACgkQWmhIvjFb90XHGgCghtZ/P+IqKZNdxyDqJCTJZnwv
HOwAmgKYpD2RAQBoNc3AX6338ZeID2Fv
=EIy2
-----END PGP SIGNATURE-----