Abo
  • Services:
Anzeige
Der POP3-Kioslave verarbeitet ungefragt auch ungültige Zertifikate.
Der POP3-Kioslave verarbeitet ungefragt auch ungültige Zertifikate. (Bild: KDE/Screenshot: Golem.de)

KDE: Fehler in Kmail ermöglicht Man-in-the-Middle-Angriffe

Im Code des POP3-Kioslaves in KDEs E-Mail-Anwendung Kmail beziehungsweise in Kdelibs ist ein Fehler, durch den ungültige Zertifikate ohne Abfrage akzeptiert werden. Angreifer könnten sich so in den verschlüsselten E-Mail-Verkehr einklinken.

Anzeige

Wer Kmail samt Kdelibs bis Version 4.13.2 nutzt, kann Opfer eines Man-in-the-Middle-Angriffs werden (CVE-2014-3494). Der für den Zugriff auf die verschiedenen Protokolle zuständige Kioslave akzeptiert bei POP3-Verbindungen auch unbekannte Zertifikate ohne Abfrage. Benutzern wird empfohlen, umgehend Version 4.13.3 der betroffenen Bibliothek einzuspielen. Einen Workaround gibt es nicht.

Angreifer könnten dem Betroffenen durch den Fehler ein Zertifikat unterschieben und so dessen E-Mail-Verkehr abgreifen, etwa auch Zugangsdaten, E-Mails oder andere persönliche Informationen. Der Kioslave initiiert keine Abfrage beim Nutzer, wenn er ein ungültiges Zertifikat verarbeitet. Zudem wird ein solches Zertifikat automatisch akzeptiert.

Betroffen sind alle Versionen der KDE-Bibliothek Kdelibs von Version 4.10.95 bis 4.13.2. Die Entwickler haben inzwischen ein Patch bereitgestellt.

eye home zur Startseite
Kommentarübersicht
4.13.3 gibt es (noch) nicht! Trotzdem kein Grund...
Till Eulenspiegel 19. Jun 2014

Die Version 4.13.3 wird nach derzeitiger Planung wohl erst am 8.7. released. Das ist...

Anzeige
Stellenmarkt
  1. Robert Bosch GmbH, Schwieberdingen
  2. CGM Deutschland AG, Hannover
  3. Bertrandt Technikum GmbH, Ehningen bei Stuttgart
  4. CompuGroup Medical Dentalsysteme GmbH, München, Kassel, Düsseldorf
Anzeige
Blu-ray-Angebote
  2. 12,85€ + 5€ FSK18-Versand
  3. (u. a. John Wick, Pulp Fiction, Leon der Profi, Good Will Hunting)
Folgen Sie uns
       
Videos
Wochenrückblick KW 37 2017 Wochenrückblick KW 37 2017
Ticker
  1. MacOS 10.13

    Apple gibt High Sierra frei

  2. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  3. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  4. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  5. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  6. Big Four

    Kundendaten von Deloitte offenbar gehackt

  7. U2F

    Yubico bringt winzigen Yubikey für USB-C

  8. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  9. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  10. Nintendo

    Super Mario Run wird umfangreicher und günstiger

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Security
Unterwegs auf der Babymesse: "Eltern vibrieren nicht"
Unterwegs auf der Babymesse
"Eltern vibrieren nicht"
  1. Optimierungsprogramm Ccleaner-Malware sollte wohl Techkonzerne ausspionieren
  2. Messenger Wire-Server steht komplett unter Open-Source-Lizenz
  3. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
E-Paper
E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7
IBM Watson
Watson: IBMs Supercomputer stellt sich dumm an
Watson
IBMs Supercomputer stellt sich dumm an
  1. IBM Watson soll auf KI-Markt verdrängt werden
  2. KI von IBM Watson optimiert Prozesse und schließt Sicherheitslücken
Forumsbeiträge »
  1. WatchOS 4.0 im Test Apples praktische Taschenlampe mit autarkem Musikplayer

    Re: Die Atmen App...

    Niaxa | 00:17

  2. Review Bombing Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

    Re: Kennt man auch von Amazo

    Anonymouse | 00:15

  3. Seniorenhandys im Test Alter, sind die unpraktisch!

    Re: Android als Seniorensystem?

    katze_sonne | 00:11

  4. Zukunftsreifen Michelin will schwammartiges Rad für fahrerlose Autos bauen

    Re: Irgendwie muss ja künftig Umsatz generieren...

    ChristianKG | 00:08

  5. U2F Yubico bringt winzigen Yubikey für USB-C

    Re: Für mich nicht nachvollziehbar

    nietscherarek | 00:08

Ticker »
  1. MacOS 10.13 Apple gibt High Sierra frei

    19:40

  2. WatchOS 4.0 im Test Apples praktische Taschenlampe mit autarkem Musikplayer

    19:00

  3. Werksreset Unitymedia stellt Senderbelegung heute in Hessen um

    17:32

  4. Aero 15 X Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

    17:19

  5. Review Bombing Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

    17:00

  6. Big Four Kundendaten von Deloitte offenbar gehackt

    16:26

  7. U2F Yubico bringt winzigen Yubikey für USB-C

    15:31

  8. Windows 10 Windows Store wird zum Microsoft Store mit Hardwareangeboten

    13:28

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel