Advisories
Im Laufe der Zeit habe ich verschiedene Schwachstellen in Software-Komponenten entdeckt und Security Advisories veröffentlicht.
CVE-2007-4360: Unauthenticated DoS in Dell DRAC4
Fehler im Mocana SSH-Server führt zu einem entfernt steuerbarem Absturz der Dell Remote Access Card 4.
CVE-2014-0037: Unauthenticated remote crash in Zarafa
Fehlende NULL-Pointer-Prüfung beim Benutzer führt zu einem entfernt steuerbarem Absturz des Zarafa-Servers.
CVE-2014-0079: Unauthenticated remote crash in Zarafa
Fehlende NULL-Pointer-Prüfung beim Kennwort führt zu einem entfernt steuerbarem Absturz des Zarafa-Servers.
CVE-2014-0103: Cleartext session password in Zarafa
Zarafa WebAccess und WebApp speichern Kennwörter von Zarafa-Benutzern im Klartext in der PHP-Session.
CVE-2014-5447: Incorrect default permissions in Zarafa
Zu schwache Berechtigungen bei "/etc/zarafa/webaccess-ajax/config.php" und "/etc/zarafa/webapp/config.php".
CVE-2014-5448: Incorrect default permission in Zarafa
Standardmäßige Verzeichnisberechtigung von "/var/log/zarafa/" nicht restriktiv genug.
CVE-2014-5449: Incorrect default permissions in Zarafa
Zu schwache Verzeichnisberechtigungen bei "/var/lib/zarafa-webaccess/tmp/" und "/var/lib/zarafa-webapp/tmp/".
CVE-2014-5450: Incorrect default permission in Zarafa
Standardmäßige Verzeichnisberechtigung von "/etc/zarafa/license/" nicht restriktiv genug.
CVE-2014-9465: Remote disk space exhaustion in Zarafa
Fehlende Authentifizierung beim Hochladen von Dateien ermöglicht Angreifern das Füllen von "/tmp/".
RSC-SA-2014-0008: Vulnerable YUI charts in Zarafa
Mitgelieferte Drittsoftware "/usr/share/zarafa-webapp/client/extjs/resources/charts.swf" von YUI für XSS anfällig.
RSC-SA-2014-0009: Vulnerable SWFUpload in Zarafa
Mitgelieferte Drittsoftware "/usr/share/zarafa-webaccess/client/widgets/swfupload/swfupload.swf" für XSS anfällig.
RSC-SA-2014-0011: SSLv3 limit in Zarafa Outlook Client
Zarafa Outlook Client zur MAPI-basierten Anbindung von Microsoft Outlook an Zarafa unterstützt nur SSLv3.