Bulletin d'alerte Debian

DSA-3492-2 gajim -- Mise à jour de sécurité

Date du rapport :
28 février 2016
Paquets concernés :
gajim
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 816158.
Plus de précisions :

La partie concernant Wheezy dans la mise à jour précédente de gajim, DSA-3492-1, était incorrectement compilée, ce qui a mené à un problème de dépendance non satisfaite. Cette mise à jour corrige ce problème. Pour référence, le texte de l'annonce d'origine suit.

Daniel Gultsch a découvert une vulnérabilité dans Gajim, un client XMPP/jabber. Gajim ne vérifiait pas l'origine de la mise à jour de la liste des contacts (roster), permettant à un attaquant d'usurper leur identité et éventuellement d'intercepter des messages.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 0.15.1-4.1+deb7u2.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 0.16-1+deb8u1.

Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 0.16.5-0.1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.16.5-0.1.

Nous vous recommandons de mettre à jour vos paquets gajim.