2017-0969: Gajim: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2017-06-07 12:48)

Neues Advisory

Version 2 (2017-06-09 11:32)

Für die Distribution openSUSE Leap 42.2 steht ein Sicherheitsupdate für Gajim zur Verfügung, um die Schwachstelle zu beheben.

Version 3 (2017-06-15 16:14)

Für Fedora EPEL 7 steht Gajim 0.16.8 als Sicherheitsupdate im Status 'testing' zur Verfügung. Gleichzeitig wird 'python-nbxmpp' auf Version 0.5.6 aktualisiert.

Version 4 (2017-08-15 11:30)

Debian stellt für die vormals stabile Distribution Jessie ein Sicherheitsupdate für 'gajim' bereit und gibt zudem bekannt, dass die Schwachstelle in der stabilen Distribution Stretch bereits vor deren Erstveröffentlichung behoben wurde.

Betroffene Software

Office

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle im 'XEP-0146: Remote Controlling Clients'-Protokoll in Gajim ermöglicht es einem bösartigen Server-Administrator sich durch das Vortäuschen von XML-Strophen (Spoofing) als Benutzer auszugeben, wodurch ungelesene Nachrichten im Klartext an diesen weitergeleitet und somit ausgespäht werden können. Dies schließt verschlüsselte OTR (Off-the-Record)-Nachrichten mit ein.

Für Fedora 24, 25 und 26 steht Gajim in der Version 0.16.8 als Sicherheitsupdate zur Verfügung. Das Sicherheitsupdate für Fedora 26 ist im Status 'pending', während sich die anderen bereits im Status 'testing' befinden.

Schwachstellen:

CVE-2016-10376

Schwachstelle in Gajim ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.