—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2011-1000 – Schwachstelle in telepathy-gabble
Im Jabber(XMMP)-Verbindungs-Manager des Telepathy-Frameworks werden bei
Updates von google:jingleinfo-Nachrichten die Quellen nicht geprueft.
Dies ermoeglicht einem entfernten Angreifer, Medienstroeme durch einen
Server seiner Wahl umzuleiten und somit Audi/Video-Anrufe abzufangen und
mitzuhoeren.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket telepathy-gabble
Fedora 13
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Timo Schulz
– —
Timo Schulz, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-1903
2011-02-21 06:48:27
– ——————————————————————————–
Name : telepathy-gabble
Product : Fedora 13
Version : 0.10.5
Release : 1.fc13
URL : http://telepathy.freedesktop.org/wiki/
Summary : A Jabber/XMPP connection manager
Description :
A Jabber/XMPP connection manager, that handles single and multi-user
chats and voice calls.
– ——————————————————————————–
ChangeLog:
* Wed Feb 16 2011 Brian Pepple
– – Update to 0.10.5.
– – Bump min BR of glib2.
– – Add requires on tp-mission-control. Refer to NEWS file.
– – Add BR on cyrus-sasl-devel for wocky test.
– – Add BR on libnice-devel
– – Add BR for sqlite-devel.
– – Bump min req for tp-glib.
– – Drop fedora cert patch. Fixed upstream.
* Sat Jul 10 2010 Brian Pepple
– – Add patch to use Fedora’s ssl certs. (#600532)
– ——————————————————————————–
References:
[ 1 ] Bug #678908 – CVE-2011-1000 Telepathy-Gabble: Audio and video calls sniffing via crafted google:jingleinfo stanza [fedora-13]
https://bugzilla.redhat.com/show_bug.cgi?id=678908
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update telepathy-gabble’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iQEcBAEBAgAGBQJNbNakAAoJEJtyb8U7iGZBg/gIAJcyQV8v2ldYZUh3sSLgk6DC
AFw6y3CEahPDu62/QIcfGTaQqRSGThFEFNoeKpvfbgceSKP+c0/P/RBfnO5cqw+c
T3ZGIyS1LeyGSSqj9R6HkzK6jE4l+nXQqhhVTBmdHkkPeNlSXUjsUgy36BNebA0E
Ztr2jvVEeCrgIsxL+5fCs8rRti7J2x1I2wDaGUh0cMzPWhqPzSRO7G0VM/p5jBXM
hAJm4NFN/rH+m1i7Bf0uoh88ys1upI5m19qlI+3AsSiCN8SiFWIcDAzOf/TVyqWc
PEYQzhoBvIYEtoxlw6V2pfxh2K7UTyL2AXbU+EAuNKS1b/9QhC9bNUXSRbvm1gs=
=bBSS
—–END PGP SIGNATURE—–
