Säkerhetsbulletin från Debian

DSA-2895-1 prosody -- säkerhetsuppdatering

Rapporterat den:
2014-04-06
Berörda paket:
prosody
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.
Ytterligare information:

En överbelastningssårbarhet har rapporterats för Prosody, en XMPP-server. Om kompression är aktiverat, kan en angripare skicka starkt komprimerade XML-element (angrepp känt som zip-bomb) över XMPP-strömmar och konsumera alla resurser i servern.

Även SAX XML-tolken lua-expat påverkas av dessa problem.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 0.8.2-4+deb7u1 of prosody.

För den instabila utgåvan (Sid) har detta problem rättats i version 0.9.4-1 of prosody.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.2.0-5+deb7u1 of lua-expat.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.3.0-1 lua-expat.

Vi rekommenderar att ni uppgraderar era prosody- och lua-expat-paket.