Sigurnosni propust vezan uz paket arora

Ispravljen je sigurnosni propust otkriven u arori kojeg je udaljeni napadač mogao iskoristiti za krivotvorenje CN polja certifikata.

Paket:	arora 0.x
Operacijski sustavi:	Fedora 15
Problem:	neodgovarajuća provjera ulaznih podataka
Iskorištavanje:	udaljeno
Posljedica:	neovlašteni pristup sustavu
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2011-3367
Izvorni ID preporuke:	FEDORA-2011-14756
Izvor:	Fedora

Problem:
Propust je posljedica toga što spomenuti paket ne koristi određenu vrstu slova kod prikaza polja certifikata.
Posljedica:
Udaljeni napadač može iskoristiti navedeni propust za krivotvorenje CN (eng. common name) polja certifikata.
Rješenje:
Savjetuje se ugradnja izdane zakrpe.

Izvorni tekst preporuke

--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2011-14756
2011-10-22 07:44:07
--------------------------------------------------------------------------------

Name        : arora
Product     : Fedora 15
Version     : 0.11.0
Release     : 3.fc15
URL         : http://code.google.com/p/arora/
Summary     : A cross platform web browser
Description :
Arora is a simple, cross platform web browser based on the QtWebKit engine.
Currently, Arora is still under development, but it already has support for
browsing and other common features such as web history and bookmarks.

--------------------------------------------------------------------------------
Update Information:

Fixes CVE-2011-3367, an input validation flaw.
--------------------------------------------------------------------------------
ChangeLog:

* Thu Oct 20 2011 Jaroslav Reznik <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> - 0.11.0-3
- CVE-2011-3367 - input validation flaw (rhbz#746875)
--------------------------------------------------------------------------------
References:

  [ 1 ] Bug #746875 - CVE-2011-3367 arora: input validation flaw
        https://bugzilla.redhat.com/show_bug.cgi?id=746875
--------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update arora' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
--------------------------------------------------------------------------------
_______________________________________________
package-announce mailing list
Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
https://admin.fedoraproject.org/mailman/listinfo/package-announce

Sigurnosni propust vezan uz paket arora

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Sigurnosni propust vezan uz paket arora

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti