DFN-CERT-2014-1118 Zarafa: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2014-1118 Zarafa: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Zarafa < 7.1.10 Betroffene Plattformen: Red Hat Fedora 19 Red Hat Fedora 20 Ein lokaler, nicht authentisierter Angreifer kann diese Schwachstellen zum Ausspähen von Informationen nutzen. Patch: Fedora Security Update FEDORA-2014-9768 https://admin.fedoraproject.org/updates/FEDORA-2014-9768/zarafa-7.1.10-4.fc19

Patch:

Fedora Security Update FEDORA-2014-9754

https://admin.fedoraproject.org/updates/FEDORA-2014-9754/zarafa-7.1.10-4.fc20

CVE-2014-5450: Schwachstelle in Zarafa’s Lizenzierungsprogramm ermöglicht
das Ausspähen von Informationen

Es besteht eine Schwachstelle in Zarafa’s Lizenzierungsprogramm. Das
Programm legt Lizenzkeys im Verzeichnis “/etc/zarafa/license/” ab, welches
für lokale Benutzer world-executable (für alle ausführbar) ist. Ein lokaler,
nicht authentifizierter Angreifer kann die Schwachstelle ausnutzen um
Lizenzkeys zu lesen oder zu kopieren.

CVE-2014-5449: Schwachstelle in Zarafa’s WebAccess ermöglicht das Ausspähen
von Informationen

Zarafa’s WebAccess enthält eine Schwachstelle hinsichtlich nicht ausreichend
restriktiver Dateiberechtigungen der Verzeichnisse
“/var/lib/zarafa-webaccess/tmp/” und “/var/lib/zarafa-webapp/tmp/”. Diese
Verzeichnisse sind für lokale Benutzer world-readable (für alle lesbar). Ein
lokaler, nicht authentifizierter Angreifer kann die Schwachstelle dazu
ausnutzen, temporär gespeicherte E-Mail-Anhänge auszulesen.

CVE-2014-5448: Schwachstelle in Zarafa ermöglicht das Ausspähen von
Informationen

Es besteht eine Schwachstelle in der Groupware Zarafa, die auf nicht
ausreichend restriktiven Berechtigungen des Verzeichnisses /var/log/zarafa
beruht. Abhängig vom Loglevel, kann ein lokaler Angreifer Informationen über
E-Mail-Betreff, Sender- und Empfängeradressen sowie ggfls. im Klartext
vorliegende und Passworte enthaltende Protokolle von IMAP, POP3,CalDAV und
iCal auslesen.

CVE-2014-5447: Schwachstelle in Zarafa’s WebAccess ermöglicht das Ausspähen
von Passworten

Es besteht eine Schwachstelle in Zarafa’s WebAccess, die auf einer
unzureichenden Behebung der Schwachstelle CVE-2014-0103 beruht. Die beiden
Konfigurationsdateien “zarafa/webaccess-ajax/config.php” und
“zarafa/webapp/config.php” haben eine nicht ausreichend restriktive
Dateiberechtigung. Ein lokaler, nicht authentifizierter Angreifer kann die
Schwachstelle dazu ausnutzen, symmetrisch verschlüsselte Passworte zu
entschlüsseln.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1118/

Fedora Security Update FEDORA-2014-9768:
https://admin.fedoraproject.org/updates/FEDORA-2014-9768/zarafa-7.1.10-4.fc19

Fedora Security Update FEDORA-2014-9754:
https://admin.fedoraproject.org/updates/FEDORA-2014-9754/zarafa-7.1.10-4.fc20

Schwachstelle CVE-2014-5447 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5447

Schwachstelle CVE-2014-5448 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5448

Schwachstelle CVE-2014-5449 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5449

Schwachstelle CVE-2014-5450 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5450

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben