Säkerhetsbulletin från Debian

DSA-2702-1 telepathy-gabble -- förbigången TLS-verifiering

Rapporterat den:
2013-06-03
Berörda paket:
telepathy-gabble
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-1431.
Ytterligare information:

Maksim Otstavnov upptäckte att undermodulen Wocky som används av telepathy-gabble, Jabber/XMPP-anslutningshanteraren för Telepathy-ramverket, inte respekterade flaggan tls-required på gamla Jabberservrar. En nätverksmellanhand kunde använda denna sårbarhet för att kringgå TLS-verifiering och utföra ett man-in-the-middle-angrepp.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 0.9.15-1+squeeze2.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 0.16.5-1+deb7u1.

För uttestningsutgåvan (jessie) and the instabila utgåvan (Sid) har detta problem rättats i version 0.16.6-1.

Vi rekommenderar att ni uppgraderar era telepathy-gabble-paket.