[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Fedora] Mehrere Schwachstellen in Mapserver - FEDORA-2010-12266

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-2539 - Buffer Overflow Schwachstelle in MapServer

  MapServer enthaelt eine Schwachstelle in der Funktion 'msTmpFile',
  welche auftritt wenn der Parameter 'ForcedTmpBase' verwendet wird. Ein
  Angreifer kann diese Schwachstelle ausnutzen um beliebige Befehle mit
  den Rechten des MapServer CGI-Scripts auszufuehren.

CVE-2010-2540 - Schwachstelle in MapServer

  Das MapServer CGI-Script ermoeglicht die Verwendung von Kommandozeilen
  Parametern, welche nach Ansicht der Entwickler eine Reihe nicht naeher
  beschriebener Schwachstellen eroeffnen. Ein Angreifer kann diese
  Schwachstellen ausnutzen um Debug und Test-Funktionen im MapServer
  CGI-Script auszufuehren.


Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket mapserver

  Fedora 13


Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
   Michael Groening, DFN-CERT
- -- 

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone  +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.:  DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen               https://www.cert.dfn.de/autowarn

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-12266
2010-08-07 22:46:04
- --------------------------------------------------------------------------------

Name        : mapserver
Product     : Fedora 13
Version     : 5.6.5
Release     : 1.fc13
URL         : http://mapserver.gis.umn.edu
Summary     : Environment for building spatially-enabled internet applications
Description :
Mapserver is an internet mapping program that converts GIS data to
map images in real time. With appropriate interface pages,
Mapserver can provide an interactive internet map based on
custom GIS data.

- --------------------------------------------------------------------------------
Update Information:

- - Update to 5.6.5, for various fixes described at:
http://trac.osgeo.org/mapserver/browser/tags/rel-5-6-5/mapserver/HISTORY.TXT
Also fixes CVE-2010-2539, CVE-2010-2540, per bz #617301 and #617312.
- --------------------------------------------------------------------------------
ChangeLog:

* Mon Jul 26 2010 Devrim GUeNDUeZ <devrim@xxxxxxxxxx> - 5.6.5-1
- - Update to 5.6.5, for various fixes described at:
  http://trac.osgeo.org/mapserver/browser/tags/rel-5-6-5/mapserver/HISTORY.TXT
  Also fixes CVE-2010-2539, CVE-2010-2540, per bz #617301 and #617312.
- --------------------------------------------------------------------------------
References:

  [ 1 ] Bug #617312 - CVE-2010-2539 MapServer: Buffer overflow by generating unique temporary filename(s) (Trac#3484)
        https://bugzilla.redhat.com/show_bug.cgi?id=617312
  [ 2 ] Bug #617301 - CVE-2010-2540 MapServer: Disable insecure mapserv CGI command-line debug args (Trac#3485)
        https://bugzilla.redhat.com/show_bug.cgi?id=617301
- --------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update mapserver' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
- --------------------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkx2g4sACgkQWmhIvjFb90UkDQCfTx7x10AtRbxGQpkzGIFifS0U
r7MAn1ze3Zrnn81f+y6w/adk+wLfFxtA
=q953
-----END PGP SIGNATURE-----