[Pardus-guvenlik] [PLSA 2009-197] Libtool: İsteğe bağlı kod çalıştırma
pardus-guvenlik at pardus.org.tr
pardus-guvenlik at pardus.org.tr
28 Ara 2009 Pzt 16:27:00 EET
------------------------------------------------------------------------
Pardus Linux Güvenlik Bildirisi 2009-197 guvenlik at pardus.org.tr
------------------------------------------------------------------------
Tarih: 2009-12-27
Önem: 3
Tür: Local
------------------------------------------------------------------------
Özet
====
Libtool'da kötü niyetli kişilerin isteğe bağlı kod
çalıştırmakta kullanabileceği bir zaafiyet bulundu. Bu durum hem
Pardus 2008'de hem de Pardus 2009'da düzeltildi.
Açıklama
========
CERT libtool'un bir parçası olan libltdl'de bazı durumlarda güncel
dizinde ya da sistemin paylaşımlı kütüphane arama yolundaki bir
kütüphaneden isteğe bağlı kod yükleyip çalıştırmasına olanak
veren bir zaafiyet rapor etti. Hafızaya alınabilir nesneler için
belirli isimlendirmeleri zorunlu kılmayan, yüklenebilir nesneleri
güvenilir işaretlenmemiş dizinlerde (örneğin güncel çalışma
dizini) arayan veya yüklenebilir nesnelerin bir şekilde
işaretlenmesini ya da çalıştırılabilir bitinin işaretlenmiş
olmasını gerektirmeyen sistemler diğerlerine nazaran daha zedenebilir
durumda ve bu sistemlere karşıdan alınmış dosyalar yoluyla zarar
vermek çok daha kolay.
Etkilenen paketler:
Pardus 2009:
libtool, 2.2.6-14-8 öncesi tüm sürümler
libtool-ltdl, 2.2.6-14-3 öncesi tüm sürümler
Pardus 2008:
libtool, 1.5.26-10-3 öncesi tüm sürümler
Çözüm
=====
libtool, libtool-ltdl için güncelleme mevcut. Paket Yöneticisi'ni
kullanarak, ya da konsolda tek komut ile güncelleme yapabilirsiniz:
Pardus 2008:
pisi up libtool
Pardus 2009:
pisi up libtool libtool-ltdl
Referanslar
===========
* http://bugs.pardus.org.tr/show_bug.cgi?id=11639
* http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3736
* https://bugzilla.redhat.com/show_bug.cgi?id=537941
------------------------------------------------------------------------
Pardus-guvenlik mesaj listesiyle ilgili
daha fazla bilgi