|
 |
|
Gentoo mehrere ebuilds ssl-cert eclass "docert()" Sicherheitsproblem
|
|
|
|
|
Secunia Advisory:
|
SA29436
|
|
|
Herausgegeben:
|
2008-03-20
|
|
|
Gefahrenstufe:
|
Weniger kritisch
|
|
Auswirkung:
|
Enthüllung von sensiblen Informationen
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| OS: | Gentoo Linux 1.x
|
|
| | CVE reference: | CVE-2008-1383 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Gentoo hat ein Sicherheitsproblem in mehreren ebuilds eingeräumt, welches zur Preisgabe von sensiblen Informationen führen kann.
Das Sicherheitsproblem besteht, da ebuilds die Funktion "docert()" der eclass ssl-cert aus dem "source building state" aufrufen. Dies führt dazu, dass sensible SSL-Zertifikate in dem generierten Paket enthalten sind, was potenziell von Angreifen ausgenutzt werden kann, um die Schlüssel zu extrahieren und diese für weitere Angriffe zu verwenden.
Eine erfolgreiche Ausnutzung setzt Zugriff auf Binärpakete voraus, welche mit den Optionen "--buildpkg" oder "--buildpkgonly" erstellt wurden.
Die folgenden ebuilds sind betroffen:
* app-admin/conserver vor 8.1.16
* mail-mta/postfix vor 2.4.6-r2
* net-ftp/netkit-ftpd vor 0.17-r7
* net-im/ejabberd vor 1.1.3
* net-irc/unrealircd vor 3.2.7-r2
* net-mail/cyrus-imapd vor 2.3.9-r1
* net-mail/dovecot vor 1.0.10
* net-misc/stunnel 4.x vor 4.21-r
* net-nntp/inn vor 2.4.3-r1
Lösung:
Entfernen Sie die von Portage generierten SSL-Zertifikate und erstellen Sie neue Pakete mit aktualisierten ebuilds. Siehe Advisory des Herstellers für weitere Informationen.
Gemeldet und/oder entdeckt von:
Robin Johnson
Original Advisory:
http://www.gentoo.org/security/en/glsa/glsa-200803-30.xml
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
1409 Related Secunia Security Advisories, displaying 10
|
|
|
1. Gentoo Bacula MySQL Director Preisgabe des Passwortes Schwachstelle
|
|
2. Gentoo Update für peercast
|
|
3. Gentoo BitchX mehrere Sicherheitslücken
|
|
4. Gentoo Update für mercurial
|
|
5. Gentoo Update für bind
|
|
6. Gentoo Update für openoffice und openoffice-bin
|
|
7. Gentoo Update für apache
|
|
8. Gentoo Update für nx
|
|
9. Gentoo Update für poppler
|
|
10. Gentoo Update für libpcre und glib
|
Show all related advisories
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
