DFN-CERT-2012-2196 Schwachstellen in Claws Mails [Linux][Fedora]

DFN-CERT-2012-2196 Schwachstellen in Claws Mails [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket claws-mail

Betroffene Plattformen:

Fedora 16
Fedora 17

Eine Schwachstelle in Claws Mail erlaubt einem lokalen Angreifer den Zugriff
auf vertrauliche Benutzerdaten.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

RedHat Bug ID 877372, RedHat Bug ID 877375, CVE-2012-5527: Schwachstelle in
Claws Mail

In dem vCalendar-Plugin von Claws Mails werden Benutzernamen und Kennworte
in URLs eingebettet. Diese vertraulichen Daten werden weiterhin auch in der
Statusleiste eingeblendet, wenn Informationen vom entfernten Kalender
aktualisiert werden. Einem lokalen Angreifer ist es damit möglich,
schlimmstenfalls die Benutzerdaten durch gezieltes Ausspähen (Sichtkontakt)
zu erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-2196/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-December/093768.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-December/093784.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-December/093769.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-December/093782.html

Schwachstelle RedHat Bug ID 877372:
https://bugzilla.redhat.com/show_bug.cgi?id=877372

Schwachstelle RedHat Bug ID 877375:
https://bugzilla.redhat.com/show_bug.cgi?id=877375

Schwachstelle CVE-2012-5527:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5527

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben