GLSA 200611-13: Avahi: "netlink" message vulnerability

http://security.gentoo.org/

Опасность:	средняя
Заголовок:	Avahi: "netlink" message vulnerability
Дата:	20.11.2006
Ошибки:	#154322
ID:	200611-13

Сводка

Avahi fails to verify the origin of netlink messages, which could allow local users to spoof network changes.

Назначение

Avahi is a system that facilitates service discovery on a local network.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
net-dns/avahi	< 0.6.15	>= 0.6.15	All supported architectures

Описание

Avahi does not check that the netlink messages come from the kernel instead of a user-space process.

Воздействие

A local attacker could exploit this vulnerability by crafting malicious netlink messages and trick Avahi to react to fake network changes. This could lead users to connect to untrusted services without knowing.

Обход

There is no known workaround at this time.

Решение

All Avahi users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=net-dns/avahi-0.6.15"

Ссылки

CVE-2006-5461

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200611-13.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.