Bulletin d'alerte Debian

DLA-407-1 prosody -- Mise à jour de sécurité pour LTS

Date du rapport :
30 janvier 2016
Paquets concernés :
prosody
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-0756.
Plus de précisions :

Le défaut permet à un serveur malveillant d’usurper l’identité d’un domaine vulnérable pour n’importe quel domaine XMPP dont le nom incorpore le domaine de l’attaquant comme suffixe.

Par exemple, bber.example pourrait se connecter sur jabber.example et réussir à usurper tout serveur vulnérable sur le réseau.

Cette publication corrige aussi une régression introduite dans le correctif précédent CVE-2016-1232 : s2s ne fonctionne pas si /dev/urandom est autorisé seulement en lecture.