Wichtiges Sicherheitsupdate für Mumble: Version 1.2.5

Mumble ist eine Open Source VoIP Anwendung, die unter Windows, Linux, Mac OS X, iOS und (inoffiziell) auf Android läuft.

Heute wurde ein Sicherheitsupdate (1.2.5) freigegeben, welches dem Stand von 1.2.4 + einem Fix entspricht.

Grund für das Sicherheitsupdate

Der Fix behebt zwei Probleme im Mumble-Clienten:

Null-Pointer dereference/Out-of-bounds array access

Dieser Fehler kann zu einem Absturz von Mumble führen und kann durch einen Benutzer im Kanal verursacht werden.

Alle Details und ein Patch gibt es im Security Advisory Mumble-SA-2014-001 (sig) und im CVE-2014-0044.

Heap based buffer overflow

Dieser Fehler kann zu einem Absturz von Mumble führen und kann durch einen Benutzer im Kanal verursacht werden. Möglicherweise könnte auch Code ausgeführt werden; jedoch gab es bisher keinen bestätigten Fall.

Alle Details und ein Patch gibt es im Security Advisory Mumble-SA-2014-002 (sig) und im CVE-2014-0045.

Wer ist betroffen?

Betroffen davon sind alle Mumble-Clienten mit Unterstützung für Opus unter Windows, Linux, Mac OS X und unter iOS, eventuell auch Plumble; sowohl stabile Versionen als auch Entwicklersnapshots. Der Server ist nicht betroffen.

Z. B. verwenden Debian und Ubuntu im stabilen Zweig die verwundbare Version 1.2.3-349-xxx, die einem alten Snapshot der Version 1.2.4 entspricht.

Für wen gibt es Updates?

  • Windows und Mac OS X: Das Sicherheitsupdate (Version 1.2.5) steht zum Herunterladen bereit; per Voreinstellung erhält jeder Benutzer nach dem Start des alten Mumble eine Aktualisierungsbenachrichtigung. Wer selbst das Update starten möchte, klickt in der Menüleiste von Mumble auf Hilfe -> Auf Updates prüfen.
  • Linux allgemein: Mehrere Linux-Distributionen wurden im Vorfeld mittels einer entsprechenden Mailing-Liste über das Problem informiert und bieten hoffentlich Updates für ihre Repos an. Bei Bedarf wird es hier im Blog weitere Informationen dazu geben…
  • Die PPAs für stable/snapshot des Mumble-Teams werden aktualisiert
  • Mumble for iOS: Hiervon gibt es eine aktualisierte Version (1.2.3); das Update läuft über den Apple Store
  • Plumble: der inoffizielle, GPLv3 lizenzierte Mumble-Client für Android, hat heute ebenfalls ein Update erfahren
  • Für Nutzer des Entwicklersnapshots gibt es auch eine neue Version (die zwar noch 1.2.4-xxx heisst, aber es ist in Wirklichkeit die Version 1.2.5)

Alle Versionen mit 1.2.x sind miteinander kompatibel.

Verwirrung bei den Versionen?

Bis gestern war 1.2.4 die aktuelle, stabile Version von Mumble. Da diese ein nun das Sicherheitsupdate bekommen hat, wurde aus „1.2.4 + Fix“ die Version 1.2.5.

All die Änderungen, bei denen es bisher immer hieß, sie würden in der zukünftigen 1.2.5 enthalten sein, werden daher in nächsten Version 1.3.0 enthalten sein.

Kurz: Aus 1.2.4 wird ein gefixtes 1.2.5 ohne neue Funktionen und aus 1.2.5 wird 1.3.0 werden.

Weitere Informationen zu den bisherigen Versionen von Mumble gibt es im Wiki.

Versionierung in Zukunft

In Zukunft wird die Versionierung dann wieder strikt nach „Hauptversion.Unterversion.Patchlevel“ durchgeführt werden.

-o-

Bitte diese Informationen weiterverbreiten :)

Ähnliche Themen …