Advisories

Im Laufe der Zeit habe ich verschiedene Schwachstellen in Software-Komponenten entdeckt und Security Advisories veröffentlicht.

CVE-2014-0037: Unauthenticated remote crash in Zarafa

Fehlende NULL-Pointer-Prüfung beim Benutzer führt zu einem entfernt steuerbarem Absturz des Zarafa-Servers.

CVE-2014-0079: Unauthenticated remote crash in Zarafa

Fehlende NULL-Pointer-Prüfung beim Kennwort führt zu einem entfernt steuerbarem Absturz des Zarafa-Servers.

CVE-2014-0103: Cleartext session password in Zarafa

Zarafa WebAccess und WebApp speichern Kennwörter von Zarafa-Benutzern im Klartext in der PHP-Session.

CVE-2014-5447: Incorrect default permissions in Zarafa

Zu schwache Berechtigungen bei "/etc/zarafa/webaccess-ajax/config.php" und "/etc/zarafa/webapp/config.php".

CVE-2014-5448: Incorrect default permission in Zarafa

Standardmäßige Verzeichnisberechtigung von "/var/log/zarafa/" nicht restriktiv genug.

CVE-2014-5449: Incorrect default permissions in Zarafa

Zu schwache Verzeichnisberechtigungen bei "/var/lib/zarafa-webaccess/tmp/" und "/var/lib/zarafa-webapp/tmp/".

CVE-2014-5450: Incorrect default permission in Zarafa

Standardmäßige Verzeichnisberechtigung von "/etc/zarafa/license/" nicht restriktiv genug.

CVE-2014-9465: Remote disk space exhaustion in Zarafa

Fehlende Authentifizierung beim Hochladen von Dateien ermöglicht Angreifern das Füllen von "/tmp/".

RSC-SA-2014-0008: Vulnerable YUI charts in Zarafa

Mitgelieferte Drittsoftware "/usr/share/zarafa-webapp/client/extjs/resources/charts.swf" von YUI für XSS anfällig.

RSC-SA-2014-0009: Vulnerable SWFUpload in Zarafa

Mitgelieferte Drittsoftware "/usr/share/zarafa-webaccess/client/widgets/swfupload/swfupload.swf" für XSS anfällig.

RSC-SA-2014-0011: SSLv3 limit in Zarafa Outlook Client

Zarafa Outlook Client zur MAPI-basierten Anbindung von Microsoft Outlook an Zarafa unterstützt nur SSLv3.