Open Source im professionellen Einsatz

Wichtiger Security-Fix für IMAP-Client Trojita

24.03.2014

Die Entwickler des IMAP-Clients Trojita haben mit Version 0.4.1 ein wichtiges Security-Update für ihre Open-Source-Software veröffentlicht.

160

Die in allen Versionen bis einschließlich 0.4.0 entdeckte Sicherheitsschwäche trägt die Bezeichnung CVE-2014-2567. Sie hat zur Folge, dass beim automatischen Speichern von Mails in den Ordnern "Gesendet" oder "Entwürfe" deren Inhalt unter Umständen unverschlüsselt an den Server übertragen wird, selbst wenn der Anwender Transportverschlüsselung per "STARTTLS" eingestellt hat. Der Entwickler Jan Kundrát betont in seinem Blogeintrag zum Thema allerdings, dass das Passwort des Benutzers niemals im Klartext übermittelt wird.

Das Umschalten auf TLS per "STARTTLS" könnte in Trojita 0.4.0 von einem Angreifer auf die Netzwerkverbindung vereitelt werden. Ein Upgrade auf Version 0.4.1 behebt die Schwäche. Ist die Software auf durchgehende Transportverschlüsselung eingestellt (per SSL/TLS auf Port 993) ist der Angriff ohnehin nicht möglich.

Version 0.4.1 mit dem Security-Fix ist auf der Trojita-Homepage erhältlich. Binärpakete für Open Suse, Ubuntu, Debian, Centos und Fedora stellt der Open Build Service zur Verfügung.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.