DFN-CERT-2014-0092 Almanah Diary, openSUSE: Eine Schwachstelle ermöglicht das Ausspähen vertraulicher Informationen [Linux][SuSE]

DFN-CERT-2014-0092 Almanah Diary, openSUSE: Eine Schwachstelle ermöglicht das Ausspähen vertraulicher Informationen [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Almanah Diary <= 0.9.1 Almanah Diary <= 0.10.1 Betroffene Plattformen: openSUSE 12.2 openSUSE 12.3 Ein lokaler Angreifer kann diese Schwachstelle ausnutzen, um Zugriff auf vertrauliche Daten zu erhalten. Patch: openSUSE-SU-2013:0532-1 http://lists.opensuse.org/opensuse-updates/2013-03/msg00098.html

Patch:

openSUSE-SU-2014:0118-1

http://lists.opensuse.org/opensuse-updates/2014-01/msg00080.html

CVE-2013-1853: Keine Verschlüsselung beim Beenden von Almanah

Almanah enthält eine Schwachstelle im Umgang mit der internen Datenbank.
Ursache ist ein Fehler im Event-Listener. Gnome verwendet in den
verwundbaren Versionen das Event “quit_main_loop()” nicht mehr, so dass zum
Abschluss notwendige Funktionen nunmehr nicht aufgerufen werden. Die
Schwachstelle führt insbesondere dazu, dass die von Almanah verwendete
Datenbank beim Beenden des Programms nicht verschlüsselt wird. Ein lokaler
Angreifer kann dies ausnutzen, um an vertrauliche Inhalte zu gelangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0092/

Schwachstelle CVE-2013-1853 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1853

openSUSE-SU-2013:0532-1:
http://lists.opensuse.org/opensuse-updates/2013-03/msg00098.html

openSUSE-SU-2014:0118-1:
http://lists.opensuse.org/opensuse-updates/2014-01/msg00080.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben