Рекомендация Debian по безопасности

DSA-2895-1 prosody -- обновление безопасности

Дата сообщения:
06.04.2014
Затронутые пакеты:
prosody
Уязвим:
Да
Ссылки на базы данных по безопасности:
На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
Более подробная информация:

Было сообщено об уязвимости в Prosody, сервере XMPP, которая проявляется в отказе в обслуживании. Если включено сжатие, атакующий может отправить сжатые элементы XML (атака известна как zip-бомба) через потоки XMPP, что приведёт к исчерпанию ресурсов сервера.

ПО для грамматического разбора SAX XML из пакета lua-expat также подвержено этой проблеме.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 0.8.2-4+deb7u1 пакета prosody.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.9.4-1 пакета prosody.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.2.0-5+deb7u1 пакета lua-expat.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.3.0-1 пакета lua-expat.

Рекомендуется обновить пакеты prosody и lua-expat.