Tri propusta u radu paketa RPM

U radu programskog paketa RPM (RPM Package Manager) otkrivena su tri sigurnosna propusta. Udaljenim napadačima omogućuju pokretanje proizvoljnog programskog koda ili rušenje ranjive aplikacije.

Paket:	rpm 4.x
Operacijski sustavi:	Fedora 17
Kritičnost:	6.6
Problem:	neodgovarajuća provjera ulaznih podataka, pogreška u programskoj funkciji
Iskorištavanje:	udaljeno
Posljedica:	proizvoljno izvršavanje programskog koda, uskraćivanje usluga (DoS)
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2012-0060, CVE-2012-0061, CVE-2012-0815
Izvorni ID preporuke:	FEDORA-2012-5298
Izvor:	Fedora

Problem:
Propusti su posljedica neodgovarajuće provjere ulaznih podataka u funkcijama "headerVerifyInfo()", "headerLoad()" i "headerLoad()".
Posljedica:
Napadaču omogućuju pokretanje proizvoljnog programskog koda ili rušenje ranjive aplikacije. Pri tome uspješna zlouporaba uključuje navođenje korisnika na provjeru potpisa posebno oblikovanog RPM paketa.
Rješenje:
Korisnici se potiču na instalaciju odgovarajuće nadogradnje.

Izvorni tekst preporuke

--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2012-5298
2012-04-04 21:03:10
--------------------------------------------------------------------------------

Name        : rpm
Product     : Fedora 17
Version     : 4.9.1.3
Release     : 1.fc17
URL         : http://www.rpm.org/
Summary     : The RPM package management system
Description :
The RPM Package Manager (RPM) is a powerful command line driven
package management system capable of installing, uninstalling,
verifying, querying, and updating software packages. Each software
package consists of an archive of files along with information about
the package like its version, a description, etc.

--------------------------------------------------------------------------------
Update Information:

This update fixes various input-validation issues in rpm:
CVE-2012-0060, CVE-2012-0061 and CVE-2012-0815
--------------------------------------------------------------------------------
References:

  [ 1 ] Bug #744104 - CVE-2012-0815 rpm: incorrect handling of negated offsets
in headerVerifyInfo()
        https://bugzilla.redhat.com/show_bug.cgi?id=744104
  [ 2 ] Bug #744858 - CVE-2012-0060 rpm: insufficient validation of region tags
        https://bugzilla.redhat.com/show_bug.cgi?id=744858
  [ 3 ] Bug #798585 - CVE-2012-0061 rpm: improper validation of header contents
total size in headerLoad()
        https://bugzilla.redhat.com/show_bug.cgi?id=798585
--------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update rpm' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
--------------------------------------------------------------------------------
_______________________________________________
package-announce mailing list
Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
https://admin.fedoraproject.org/mailman/listinfo/package-announce

Tri propusta u radu paketa RPM

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Tri propusta u radu paketa RPM

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti