DFN-CERT-2016-1966 MCabber: Eine Schwachstelle ermöglicht das Darstellen falscher Informationen [Linux][Fedora]

DFN-CERT-2016-1966 MCabber: Eine Schwachstelle ermöglicht das Darstellen falscher Informationen [Linux][Fedora]

Von

Das Projekt Tine 2.0 zeigte auf dem Linuxtag 2008 eine Vorschau-Version seiner jungen Groupware, hier ein Detail aus dem CRM-Modul.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

MCabber < 1.0.4 Betroffene Plattformen: Red Hat Fedora 23 Red Hat Fedora 24 Red Hat Fedora 25 Eine Schwachstelle in MCabber ermöglicht einem entfernten, einfach authentisierten Angreifer das Darstellen falscher Informationen. Für Fedora 23, 24 und 25 steht MCabber in der Version 1.0.4 als Sicherheitsupdate zur Verfügung; jenes für Fedora 23 befindet sich im Status 'testing', die beiden anderen befinden sich derzeit noch im Status 'pending'. Patch: Fedora Security Update FEDORA-2016-30f68ec06b (Fedora 24, mcabber-1.0.4-1) https://bodhi.fedoraproject.org/updates/FEDORA-2016-30f68ec06b

Patch:

Fedora Security Update FEDORA-2016-7da97a3914 (Fedora 23, mcabber-1.0.4-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-7da97a3914

Patch:

Fedora Security Update FEDORA-2016-e865601498 (Fedora 25, mcabber-1.0.4-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-e865601498

CVE-2015-8688: Schwachstelle in Gajim / MCabber ermöglicht das Darstellen
falscher Informationen

Es existiert eine Schwachstelle in Gajim, weil das Programm ungeprüft
Push-Nachrichten akzeptiert, welche die Einträge im Roster modifizieren.
Dies ermöglicht es einem Angreifer, als Man-in-the-Middle (MitM), mittels
Push-Nachrichten die Kontaktdaten kommunizierender Benutzer so zu
manipulieren, dass er selbst unter dem Alias des jeweils anderen Benutzers
in den Roster eingetragen wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1966/

Schwachstelle CVE-2015-8688 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8688

Gajim Roster Push Attack / Message Interception:
http://gultsch.de/gajim_roster_push_and_message_interception.html

Fedora Security Update FEDORA-2016-30f68ec06b (Fedora 24, mcabber-1.0.4-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-30f68ec06b

Fedora Security Update FEDORA-2016-7da97a3914 (Fedora 23, mcabber-1.0.4-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-7da97a3914

Fedora Security Update FEDORA-2016-e865601498 (Fedora 25, mcabber-1.0.4-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-e865601498

MCabber Release Notes:
https://mcabber.com/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben