Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Commons Email >= 1.0
Apache Commons Email < 1.5 Betroffene Plattformen: Red Hat Fedora 26 Ein entfernter, vermutlich einfach authentifizierter Angreifer mit Zugriff auf die Apache Commons Email API kann eine Schwachstelle ausnutzen, um E-Mails zu manipulieren. Diese Schwachstelle ist in dem aktuellen Apache Commons Email Release 1.5 behoben. Für Fedora 26 steht ein Sicherheitsupdate auf die Version 1.5 in Form des Paketes 'apache-commons-email-1.5-1.fc26' im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2018-48d385a6fd (Fedora 26, apache-commons-email-1.5-1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2018-48d385a6fd

CVE-2018-1294: Schwachstelle in Apache Commons Email ermöglicht Manipulation
von Emails

In Apache Commons Email 1.0 – 1.4 (API) existiert eine Schwachstelle
aufgrund unzureichender Validierung in der Funktion
Email.setBounceAddress(). Wenn ein Benutzer von Commons Email
(typischerweise ein Anwendungsentwickler) nicht validierte Eingaben (Input)
als sogenannte ‘Bounce Address’ weiterreicht und dieser Input Zeilenumbrüche
beinhaltet, können Email-Details (Empfänger, Inhalte usw.) manipuliert
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0219/

Schwachstelle CVE-2018-1294 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-1294

Fedora Security Update FEDORA-2018-48d385a6fd (Fedora 26,
apache-commons-email-1.5-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-48d385a6fd

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.