Рекомендация Debian по безопасности

DLA-407-1 prosody -- обновление безопасности LTS

Дата сообщения:
30.01.2016
Затронутые пакеты:
prosody
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-0756.
Более подробная информация:

Уязвимость позволяет серверу злоумышленника подделать уязвимый домен для любого домена XMPP при условии, что это доменное имя в качестве суффикса содержит доменное имя сервера злоумышленника.

Например, bber.example сможет подключиться к jabber.example и сможет успешно выдать себя за любой уязвимый сервер этой сети.

Этот выпуск также содержит исправление регресса, введённое в предыдущем исправлении CVE-2016-1232: s2s не работает в случае, если /dev/urandom открыт только для чтения.