DFN-CERT-2017-0323 Profanity: Eine Schwachstelle ermöglicht die Darstellung falscher Informationen [Linux][SuSE]

DFN-CERT-2017-0323 Profanity: Eine Schwachstelle ermöglicht die Darstellung falscher Informationen [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Profanity 0.4.7
Profanity 0.5.0

Betroffene Plattformen:

openSUSE Leap 42.1
openSUSE Leap 42.2

Ein entfernter, nicht authentisierter Angreifer kann durch Ausnutzung der
Schwachstelle Benutzeridentitäten annehmen und einen Benutzer in Gesprächen
dazu verleiten Informationen preiszugeben (Social-Engineering).

Für openSUSE Leap 42.2 und openSUSE Leap 42.1 stehen
Backport-Sicherheitsupdates bereit.

Patch:

openSUSE Security Update openSUSE-SU-2017:0531-1

http://lists.opensuse.org/opensuse-updates/2017-02/msg00097.html

CVE-2017-5592: Schwachstelle in Profanity ermöglicht Darstellen falscher
Informationen

Durch die fehlerhafte Implementierung des Protokolls XEP-0280: Message
Carbons[0] existiert eine Schwachstelle in Profanity 0.4.7 und 0.5.0. Dabei
wurde die Vorgabe ignoriert, dass eine weitergeleitete Nachrichtenkopie die
Jabber-ID des weiterleitenden Benutzers beinhalten muss, wodurch gefälschte
Nachrichten wie reguläre behandelt und mit gefälschten Benutzernamen
dargestellt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0323/

Schwachstelle CVE-2017-5592 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5592

openSUSE Security Update openSUSE-SU-2017:0531-1:
http://lists.opensuse.org/opensuse-updates/2017-02/msg00097.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben