Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (21.06.2017):
Für Fedora 25 und 26 stehen Sicherheitsupdates in Form der Pakete
‘kmail-16.12.3-2.fc25’, ‘kmail-17.04.1-3.fc26’,
‘kf5-messagelib-16.12.3-2.fc25’, ‘kf5-messagelib-17.04.1-2.fc26’,
‘kdepim4-4.14.10-31.fc25’ und ‘kdepim4-4.14.10-31.fc26’ im Status
‘testing’ bereit.
Version 1 (15.06.2017):
Neues Advisory
Betroffene Software:
KMail < 5.5.2 KDE Applications < 17.04.2 Betroffene Plattformen: Apple Mac OS X Unix GNU/Linux Microsoft Windows Red Hat Fedora 25 Red Hat Fedora 26 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in KMail ausnutzen, um durch Lauschen im Netzwerk sensitive Informationen aus E-Mails auszuspähen. Das KDE Project hat Patches und Sicherheitsupdates auf KMail 5.5.2 und messagelib 5.5.2 (veröffentlicht als Teil von KDE Applications 17.04.2) zur Behebung der Schwachstelle bereitgestellt. Patch: KDE Project Security Advisory KDE-advisory-20170615-1 (CVE-2017-9604) http://kde.org/info/security/advisory-20170615-1.txt
Patch:
Fedora Security Update FEDORA-2017-4d03055306 (Fedora 26,
kf5-messagelib-17.04.1-2)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4d03055306
Patch:
Fedora Security Update FEDORA-2017-50f7508468 (Fedora 26,
kdepim4-4.14.10-31)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-50f7508468
Patch:
Fedora Security Update FEDORA-2017-63fbea2273 (Fedora 26, kmail-17.04.1-3)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-63fbea2273
Patch:
Fedora Security Update FEDORA-2017-a11f853361 (Fedora 25,
kdepim4-4.14.10-31)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a11f853361
Patch:
Fedora Security Update FEDORA-2017-bb1ecba1bc (Fedora 25,
kf5-messagelib-16.12.3-2)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-bb1ecba1bc
Patch:
Fedora Security Update FEDORA-2017-f68c93aaac (Fedora 25, kmail-16.12.3-2)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f68c93aaac
CVE-2017-9604: Schwachstelle in KDE KMail ermöglicht Ausspähen von
Informationen
In KDE KMail vor Version 5.5.2 und messagelib vor 5.5.2, wie mit KDE
Applications vor Version 17.04.2 ausgeliefert, existiert eine Schwachstelle,
da bei Nutzung des ‘Send Later with Delay’ Features nicht sichergestellt
ist, dass ein Plugin die E-Mail beim Versand wie eingestellt signiert und
verschlüsselt.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1033/
Schwachstelle CVE-2017-9604 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9604
KDE Project Security Advisory KDE-advisory-20170615-1 (CVE-2017-9604):
http://kde.org/info/security/advisory-20170615-1.txt
Fedora Security Update FEDORA-2017-4d03055306 (Fedora 26,
kf5-messagelib-17.04.1-2):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4d03055306
Fedora Security Update FEDORA-2017-50f7508468 (Fedora 26, kdepim4-4.14.10-31):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-50f7508468
Fedora Security Update FEDORA-2017-63fbea2273 (Fedora 26, kmail-17.04.1-3):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-63fbea2273
Fedora Security Update FEDORA-2017-a11f853361 (Fedora 25, kdepim4-4.14.10-31):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a11f853361
Fedora Security Update FEDORA-2017-bb1ecba1bc (Fedora 25,
kf5-messagelib-16.12.3-2):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-bb1ecba1bc
Fedora Security Update FEDORA-2017-f68c93aaac (Fedora 25, kmail-16.12.3-2):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f68c93aaac
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
