Heute gab es für die stabile Version von Mumble ein Sicherheitsupdate auf die Version 1.2.13.
Damit wird eine Schwachstelle behoben, die seit Version 1.2.0 nur im Mumble-Server für Windows steckt.
Über ein selbst erstelltes UDP-Paket ist es möglich, den Server dazu zu bringen, dass er keine Pakete mehr über UDP annimmt.
Das hat zur Folge, dass Sprachpakete nicht mehr über UDP angenommen werden und die Clients nach einigen Sekunden automatisch in den TCP-Modus umschalten. Bis zur Umschaltung kann man niemanden hören und wird auch nicht von den anderen gehört.
Desweitern werden auch sogenannte Ping-Pakete nicht mehr gesendet, über die der Client erfragt, wie viele Benutzer sich aktuell auf einem Mumble-Server befinden, wie viele Slots es gibt und welchen Ping man zu einem Server hat.
Wenn ein neuer Benutzer den Server betritt, ist UDP wieder möglich.
Gefunden wurde diese Lücke von LuaMilkshake.
Alle technischen Details und auch einen Patchfindet man im Mumble Security Advisory 2016-001.
Nicht-Windows-Versionen sind von dem Fehler nicht betroffen, aber wie immer schließt ein Update die Pakete für alle Betriebssystem mit ein.
Das Update kann man entweder selbst anstoßen über das Menü -> Hilfe -> Auf Updates prüfen oder beim nächsten Start von Mumble einfach die Aktualisierungsbenachrichtigung anklicken.
Alternativ kann man sich auch Mumble selbst herunterladen, siehe hier.
Auch ist diese Version die erste für Windows, die eine andere Art der Signierung für die Pakete unter Windows verwendet; Details dazu gibt es im Blog des Mumble-Projekts, siehe hier.
Kommentare
Kommentare sind für diesen Blogbeitrag (noch) nicht aktiviert. Nach der Veröffentlichung eines Blogbeitrags dauert das in der Regel noch ein paar Minuten.
Alternative: Anmerkung per E-Mail
Du kannst mir Anmerkungen zum Blogbeitrag per E-Mail schicken, wenn du hier klickst. Der Inhalt davon bleibt privat und wird nicht hier im Kommentarbereich veröffentlicht.