Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket telepathy-idle

Betroffene Plattformen:

openSUSE 12.2

Eine Schwachstelle in dem IRC-Backend des Telepathy-Frameworks erlaubt einem
entfernten Angreifer mittels eines Man-in-the-Middle-Angriffs
schlimmstenfalls Zugriff auf vertrauliche Informationen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2007-6746: Schwachstelle im IRC-Backend für das Telepathy-Framework

In den Versionen vor 0.1.15 von telepathy-idle, werden kryptographische
Zertifikate (SSL/TLS) nicht auf ihre Gültigkeit geprüft. Aufgrund der
fehlenden Prüfung ob das Zertifikat abgelaufen ist, ob es von einer
vertrauenswürdigen CA ausgestellt wurde, oder ob der Hostname mit dem im
Zertifikat überstimmt, ist es einem entfernten Angreifer schlimmstenfalls
möglich, einen Man-in-the-Middle-Angriff durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0926/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-updates/

Schwachstelle CVE-2007-6746:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6746

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.