Рекомендация Debian по безопасности

DSA-2169-1 telepathy-gabble -- недостаточная проверка вводимых данных

Дата сообщения:
16.02.2011
Затронутые пакеты:
telepathy-gabble
Уязвим:
Да
Ссылки на базы данных по безопасности:
На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
Более подробная информация:

Было обнаружено, что telepathy-gabble, менеджер соединений Jabber/XMPP для фреймворка Telepathy, обрабатывает обновления google:jingleinfo без проверки их достоверности. Это может позволить злоумышленнику обманом заставить telepathy-gabble передавать потоковые мультимедийные данные через выбранный им сервер и, таким образом, перехватывать аудио- и видеозвонки.

Для прошлого стабильного дистрибутива (Lenny) эта проблема исправлена в версии 0.7.6-1+lenny1.

Для стабильного дистрибутива (Squeeze) эта проблема исправлена в версии 0.9.15-1+squeeze1.

Для тестируемого (Wheezy) и нестабильного (Sid) дистрибутивов эта проблема скоро будет исправлена.

Мы рекомендуем вам обновить пакеты telepathy-gabble.