Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Zarafa <= 7.1.9 Betroffene Plattformen: Red Hat Fedora 19 Red Hat Fedora 20 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Ein lokaler, nicht authentifizierter Angreifer kann die Schwachstelle zum Ausspähen von Benutzerdaten nutzen. Patch: Fedora Security Update FEDORA-2014-7889 https://admin.fedoraproject.org/updates/FEDORA-2014-7889/zarafa-7.1.10-1.fc19
Patch:
Fedora Security Update FEDORA-2014-7896
https://admin.fedoraproject.org/updates/FEDORA-2014-7896/zarafa-7.1.10-1.fc20
Patch:
Fedora Security Update FEDORA-EPEL-2014-1780
Patch:
Fedora Security Update FEDORA-EPEL-2014-1782
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1782/zarafa-7.1.10-1.el6
CVE-2014-0103: Zarafa’s WebAccess speichert Passwörter im Klartext
Zarafa’s WebAccess speichert Session Informationen, inklusive Login
Credentials, im Klartext auf dem Server in PHP Session Dateien. In einer
ungeteilten hosting Umgebung kann die Schwachstelle von einem lokalen, nicht
authentifizierten Angreifer zum Ausspähen von Benutzerdaten genutzt werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0845/
Schwachstelle CVE-2014-0103 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0103
Fedora Security Update FEDORA-2014-7889:
https://admin.fedoraproject.org/updates/FEDORA-2014-7889/zarafa-7.1.10-1.fc19
Fedora Security Update FEDORA-2014-7896:
https://admin.fedoraproject.org/updates/FEDORA-2014-7896/zarafa-7.1.10-1.fc20
Fedora Security Update FEDORA-EPEL-2014-1780:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1780/zarafa-7.1.10-1.el5,php53-mapi-7.1.10-1.el5
Fedora Security Update FEDORA-EPEL-2014-1782:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1782/zarafa-7.1.10-1.el6
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
