Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Paket gajim
Betroffene Plattformen:
Fedora 16
Fedora 17
Eine Schwachstelle in Gajim ermöglicht einem lokalen Angreifer, beliebige
Dateien mit den Rechten der Anwendung zu überschreiben.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
http://dl.fedoraproject.org/pub/fedora/linux/updates/
CVE-2012-2093: Schwachstelle in Gajim erlaubt Symlink Attacken
Der Instant Messenger Gajim enthält eine Schwachstelle beim Umwandeln von
LaTeX Syntax in PNG-Dateien. Grund hierfür ist die unsichere Erzeugung von
Dateinamen für temporäre Dateien. Ein lokaler Angreifer kann diese
Schwachstelle ausnutzen, um mit Hilfe geeigneter Symlinks beliebige Dateien
mit den Rechten der Anwendung zu überschreiben.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0807/
Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/079241.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/079169.html
Schwachstelle CVE-2012-2093:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2093
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
