Januar 2014
Hier finden Sie Nachrichten und Einträge aus dem Januar 2014, die sich einmal als News direkt auf der Homepage befunden haben.
31. Januar 2014: Am 16. Oktober 2013 habe ich eine Schwachstelle in der Zarafa Collaboration Platform (ZCP) entdeckt. Zarafa ist eine Open-Source-Groupware-Suite, die volle Kollaboration bei E-Mail, Kalender, Kontakten und Aufgaben ermöglicht und als Alternative zu Microsoft Exchange verwendet werden kann. Diese Schwachstelle betrifft sämtliche Zarafa-Versionen (4.1 bis einschließlich 7.1.8 beta 1) und kann auch aus der Ferne über TCP-Port 236 bzw. 237 (MAPI in SOAP over HTTP/HTTPS) ausgenutzt werden. Dabei stürzt der Dienst "zarafa-server" mit einem "Segmentation fault" ab - bis zu einem Neustart des Diensts ist keine Zarafa-Benutzung mehr möglich. Gestern Abend wurde von Zarafa dann endlich die Version 7.1.8 freigegeben welche meinen Patch enthält. Diesen habe ich innerhalb von 42 Stunden nach der Entdeckung entwickelt gehabt und natürlich Zarafa zur Verfügung gestellt - und war damit übrigens schneller als die Zarafa-Entwickler selbst. Heute wurde die Schwachstelle (mit Hilfe des Red Hat Security Response Team) nun öffentlich gemacht und ist nun als CVE-2014-0037, RHBZ #1056767, SecurityFocus BID-65280 und Secunia SA56709 bekannt.