DFN-CERT-2017-0527 SleekXMPP: Eine Schwachstelle ermöglicht die Darstellung falscher Informationen [Linux][Fedora]

DFN-CERT-2017-0527 SleekXMPP: Eine Schwachstelle ermöglicht die Darstellung falscher Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

poezio >= 0.8
poezio <= 0.10 SleekXMPP <= 1.3.1 Betroffene Plattformen: Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Ein entfernter, nicht authentisierter Angreifer kann durch Ausnutzung der Schwachstelle andere Benutzer imitieren und dadurch weitere Benutzer in Gesprächen dazu verleiten, Informationen preiszugeben (Social Engineering). Für Fedora 24, 25 und 26 stehen Sicherheitsupdates in Form der Pakete 'python-sleekxmpp-1.3.2-1.fc24', 'python-sleekxmpp-1.3.2-1.fc25' und 'python-sleekxmpp-1.3.2-1.fc26' im Status 'testing' bereit. Der Schwachstellenbezeichner CVE-2017-5591 wurde für poezio vergeben. Die Schwachstelle liegt in dessen Bibliothek 'slixmpp' begründet, die wiederum eine Abspaltung der Bibliothek 'SleekXMPP' ist. Das referenzierte Sicherheitsupdate bezieht sich auf diese Bibliothek. Patch: Fedora Security Update FEDORA-2017-68bd2a916e (Fedora 26, python-sleekxmpp-1.3.2-1) https://bodhi.fedoraproject.org/updates/FEDORA-2017-68bd2a916e

Patch:

Fedora Security Update FEDORA-2017-97e65f13bb (Fedora 24,
python-sleekxmpp-1.3.2-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-97e65f13bb

Patch:

Fedora Security Update FEDORA-2017-99ad80f109 (Fedora 25,
python-sleekxmpp-1.3.2-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-99ad80f109

CVE-2017-5591: Schwachstelle in poezio und SleekXMPP ermöglicht Darstellung
falscher Informationen

Durch die fehlerhafte Implementierung der Protokollerweiterung ‘XEP-0280:
Message Carbons’ existiert eine Schwachstelle in unterschiedlichen
XMPP-Clients, unter anderem in Poezio. Dabei wird die Vorgabe ignoriert,
dass eine weitergeleitete Nachrichtenkopie die Jabber-ID des weiterleitenden
Benutzers beinhalten muss, wodurch gefälschte Nachrichten wie reguläre
behandelt und mit gefälschten Benutzernamen dargestellt werden können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0527/

Schwachstelle CVE-2017-5591 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5591

http://openwall.com/lists/oss-security/2017/02/09/29:
http://openwall.com/lists/oss-security/2017/02/09/29

Fedora Security Update FEDORA-2017-68bd2a916e (Fedora 26,
python-sleekxmpp-1.3.2-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-68bd2a916e

Fedora Security Update FEDORA-2017-97e65f13bb (Fedora 24,
python-sleekxmpp-1.3.2-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-97e65f13bb

Fedora Security Update FEDORA-2017-99ad80f109 (Fedora 25,
python-sleekxmpp-1.3.2-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-99ad80f109

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben