DFN-CERT-2012-0724 Mehrere Schwachstellen in Gajim [Linux][Debian]

DFN-CERT-2012-0724 Mehrere Schwachstellen in Gajim [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket gajim in Debian GNU/Linux 6.0 (squeeze) vor Version 0.13.4-3+squeeze2
Paket gajim in Debian GNU/Linux 7.0 (wheezy) vor Version 0.15-1
Paket gajim in Debian GNU/Linux unstable (sid) vor Version 0.15-1

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux 7.0 (wheezy)
Debian GNU/Linux unstable (sid)

Mehrere Schwachstellen im Gajim Instant Messenger erlauben es, Dateien auf
einem betroffenen System zu überschreiben, vertrauliche Daten auszulesen
oder schlimmstenfalls beliebige Befehle mit den Rechten der Anwendung
auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2012-2085: Schwachstelle in Gajim ermöglicht Codeausführung

Gajim enthält eine Schwachstelle bei der Validierung von Links innerhalb von
XMPP-Nachrichten.
Dies ermöglicht einem entfernten Angreifer, mit Hilfe präparierter Links
Befehle auf der Kommandozeile eines betroffenen Systems auszuführen.
Bitte beachten Sie, dass für diese Schwachstelle bereits ein Exploit
veröffentlicht wurde.

CVE-2012-2086: SQL-Injection Schwachstelle in Gajim

Gajim enthält eine Schwachstelle, die es ermöglicht, SQL-Befehle in die
Anwendung einzuschleusen.
Dies ist möglich aufgrund unzureichender Prüfung von benutzerdefinierten
Parametern, welche zur Generierung von SQL-Queries genutzt werden. Ein
Angreifer kann auf diese Weise beliebige Befehle auf der Datenbank des
Instant Messengers ausführen oder an möglicherweise vertrauliche
Informationen gelangen.

CVE-2012-2093: Schwachstelle in Gajim erlaubt Symlink Attacken

Der Instant Messenger Gajim enthält eine Schwachstelle beim Umwandeln von
LaTeX Syntax in PNG-Dateien. Grund hierfür ist die unsichere Erzeugung von
Dateinamen für temporäre Dateien. Ein Angreifer kann diese Schwachstelle
ausnutzen, um mit Hilfe geeigneter Symlinks beliebige Dateien mit den
Rechten der Anwendung zu überschreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0724/

Das Hersteller Advisory:
http://www.debian.org/security/2012/dsa-2453

Schwachstelle CVE-2012-2093:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2093

Schwachstelle CVE-2012-2086:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2086

Schwachstelle CVE-2012-2085:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2085

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben