UPDATE: DFN-CERT-2014-1133 Enigmail: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][SuSE]

UPDATE: DFN-CERT-2014-1133 Enigmail: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (08.09.2014):
Für openSUSE 13.1 und openSUSE 12.3 stehen Sicherheitsupdates bereit.
Version 1 (02.09.2014):
Neues Advisory

Betroffene Software:

Enigmail

Betroffene Plattformen:

openSUSE 12.3
openSUSE 13.1
Red Hat Fedora 19
Red Hat Fedora 20
Red Hat Fedora 21
Extra Packages for Red Hat Enterprise Linux 7

Durch eine Schwachstelle in Enigmail kann ein lokaler, nicht
authentifizierter Angreifer die Verschlüsselung von Nachrichten umgehen.

Patch:

Fedora Security Update FEDORA-2014-9919

https://admin.fedoraproject.org/updates/FEDORA-2014-9919/thunderbird-enigmail-1.7.2-1.fc21

Patch:

Fedora Security Update FEDORA-2014-9944

https://admin.fedoraproject.org/updates/FEDORA-2014-9944/thunderbird-enigmail-1.7.2-1.fc20

Patch:

Fedora Security Update FEDORA-2014-9954

https://admin.fedoraproject.org/updates/FEDORA-2014-9954/thunderbird-enigmail-1.7.2-1.fc19

Patch:

Fedora Security Update FEDORA-EPEL-2014-2325

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2325/thunderbird-enigmail-1.7.2-1.el7

Patch:

openSUSE Security Update: openSUSE-SU-2014:1096-1

http://lists.opensuse.org/opensuse-updates/2014-09/msg00008.html

CVE-2014-5369: Schwachstelle in Enigmail ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Es existiert eine Schwachstelle in Enigmail, wodurch zu verschlüsselnde
Nachrichten fälschlicherweise im Klartext versendet werden, wenn als
Empfänger nur Bcc-Adressen eingetragen sind. Ein lokaler, nicht
authentifizierter Angreifer kann die Verschlüsselung von Nachrichten
umgehen, indem er als Empfänger nur einen Bcc einträgt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1133/

Fedora Security Update FEDORA-2014-9919:
https://admin.fedoraproject.org/updates/FEDORA-2014-9919/thunderbird-enigmail-1.7.2-1.fc21

Fedora Security Update FEDORA-2014-9944:
https://admin.fedoraproject.org/updates/FEDORA-2014-9944/thunderbird-enigmail-1.7.2-1.fc20

Fedora Security Update FEDORA-2014-9954:
https://admin.fedoraproject.org/updates/FEDORA-2014-9954/thunderbird-enigmail-1.7.2-1.fc19

Schwachstelle CVE-2014-5369 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5369

Fedora Security Update FEDORA-EPEL-2014-2325:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2325/thunderbird-enigmail-1.7.2-1.el7

openSUSE Security Update: openSUSE-SU-2014:1096-1:
http://lists.opensuse.org/opensuse-updates/2014-09/msg00008.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben