Debians sikkerhedsbulletin

DLA-407-1 prosody -- LTS-sikkerhedsopdatering

Rapporteret den:
30. jan 2016
Berørte pakker:
prosody
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-0756.
Yderligere oplysninger:

Fejlen gjorde det muligt for en ondsindet server at udgive sig for at være det sårbare domæne, over for ethvert XMPP-domæne, hvis domænenavn indeholder angriberens domæne som et suffiks.

Eksempelvis ville bber.example være i stand til at forbindese sig med jabber.example og med succes udgive sig for at være enhver sårbar server i netværket.

Dette udgave retter også en regression opstået i den tidligere rettelse af CVE-2016-1232: s2s fungerer ikke hvis /dev/urandom kun er læsbar.