Abo
  • Services:

KDE: Fehler in Kmail ermöglicht Man-in-the-Middle-Angriffe

Im Code des POP3-Kioslaves in KDEs E-Mail-Anwendung Kmail beziehungsweise in Kdelibs ist ein Fehler, durch den ungültige Zertifikate ohne Abfrage akzeptiert werden. Angreifer könnten sich so in den verschlüsselten E-Mail-Verkehr einklinken.

Artikel veröffentlicht am ,
Der POP3-Kioslave verarbeitet ungefragt auch ungültige Zertifikate.
Der POP3-Kioslave verarbeitet ungefragt auch ungültige Zertifikate. (Bild: KDE/Screenshot: Golem.de)

Wer Kmail samt Kdelibs bis Version 4.13.2 nutzt, kann Opfer eines Man-in-the-Middle-Angriffs werden (CVE-2014-3494). Der für den Zugriff auf die verschiedenen Protokolle zuständige Kioslave akzeptiert bei POP3-Verbindungen auch unbekannte Zertifikate ohne Abfrage. Benutzern wird empfohlen, umgehend Version 4.13.3 der betroffenen Bibliothek einzuspielen. Einen Workaround gibt es nicht.

Stellenmarkt
  1. SSI SCHÄFER Automation GmbH, Giebelstadt bei Würzburg
  2. Landesbetrieb IT.Niedersachsen, Hannover

Angreifer könnten dem Betroffenen durch den Fehler ein Zertifikat unterschieben und so dessen E-Mail-Verkehr abgreifen, etwa auch Zugangsdaten, E-Mails oder andere persönliche Informationen. Der Kioslave initiiert keine Abfrage beim Nutzer, wenn er ein ungültiges Zertifikat verarbeitet. Zudem wird ein solches Zertifikat automatisch akzeptiert.

Betroffen sind alle Versionen der KDE-Bibliothek Kdelibs von Version 4.10.95 bis 4.13.2. Die Entwickler haben inzwischen ein Patch bereitgestellt.



Anzeige
Hardware-Angebote
  1. ab 349€
  2. 39,99€ statt 59,99€

Till Eulenspiegel 19. Jun 2014

Die Version 4.13.3 wird nach derzeitiger Planung wohl erst am 8.7. released. Das ist...


Folgen Sie uns
       


E3 2018, wenig Hardware, mehr Spiele - Livestream

Neue Hardware (PC, Konsolen, Handhelds) sind auf der diesjährigen E3 in Los Angeles wohl nicht zu erwarten, oder doch? Diese und andere spannende Fragen zur Messe diskutieren die Golem.de-Redakteure Peter Steinlechner und Michael Wieczorek im Livestream.

E3 2018, wenig Hardware, mehr Spiele - Livestream Video aufrufen
Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
Kreuzschifffahrt
Wie Brennstoffzellen Schiffe sauberer machen

Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
Von Werner Pluta

  1. Roboat MIT-Forscher drucken autonom fahrende Boote
  2. Elektromobilität Norwegen baut mehr Elektrofähren
  3. Elektromobilität Norwegische Elektrofähre ist sauber und günstig

Sonnet eGFX Box 650 im Test: Wenn die Vega 64 am Thinkpad rechnet
Sonnet eGFX Box 650 im Test
Wenn die Vega 64 am Thinkpad rechnet

Die eGFX Box 650 von Sonnet ist ein eGPU-Gehäuse, das dank 650-Watt-Netzteil auch mit AMDs Radeon RX Vega 64 läuft. Die Box ist zwar recht leise, dennoch würden wir den Lüfter gerne steuern.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Razer Core X eGPU-Box kostet 300 Euro
  2. eGFX Breakaway Box 650 Sonnets Grafik-Gehäuse läuft mit Vega 64
  3. XG Station Pro Asus' zweite eGPU-Box ist schlicht

Nasa: Wieder kein Leben auf dem Mars
Nasa
Wieder kein Leben auf dem Mars

Analysen von Kohlenwasserstoffen durch den Marsrover Curiosity zeigten keine Hinweise auf Leben. Dennoch versucht die Nasa mit allen Mitteln, den gegenteiligen Eindruck zu vermitteln.
Von Frank Wunderlich-Pfeiffer


      •  /