2017-0184: Shotwell: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2017-02-01 15:13)

Neues Advisory

Version 2 (2017-08-08 11:18)

Canonical stellt für die Distributionen Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.04 Sicherheitsupdates für Shotwell bereit.

Version 3 (2018-03-09 10:13)

Für die SUSE Linux Enterprise Produktvarianten Workstation Extension und Desktop jeweils in den Versionen 12 SP2 und 12 SP3 stehen Sicherheitsupdates für Shotwell zur Verfügung.

Version 4 (2018-03-09 13:39)

Für openSUSE Leap 42.3 stehen jetzt ebenfalls Sicherheitsupdates für Shotwell zur Verfügung, um die Schwachstelle zu beheben.

Betroffene Software

Office

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann Informationen ausspähen, die von Shotwell im Klartext über das HTTP-Protokoll gesendet werden. Dazu gehören auch Zugangsdaten zu externen Diensten.

Der Hersteller stellt Shotwell 0.24.5 und 0.25.4 (unstable) zur Verfügung. Beginnend mit diesen Programmversionen wird das HTTPS-Protokoll konsistent für alle Verbindungen verwendet. Benutzer, die Plugins für Tumblr und Yandex.Fotki verwenden, werden angewiesen, ihre dortigen Passwörter zu ändern und sich nach Einspielen des Updates erneut bei diesen Diensten zu authentifizieren. Benutzer von Picasa und Youtube in Shotwell werden angewiesen, sich von den Diensten abzumelden und erst nach Einspielen des Updates wieder anzumelden. Für Fedora 24 und 25 stehen Sicherheitsupdates auf Shotwell 0.24.5 bereit, die sich derzeit noch im Status 'pending' befinden.

Schwachstellen:

CVE-2017-1000024

Schwachstelle in Shotwell ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.