LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-407-1 prosody

Bulletin d'alerte Debian

DLA-407-1 prosody -- Mise à jour de sécurité pour LTS

Date du rapport :

30 janvier 2016

Paquets concernés :

prosody

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-0756.

Plus de précisions :

Le défaut permet à un serveur malveillant d’usurper l’identité d’un domaine vulnérable pour n’importe quel domaine XMPP dont le nom incorpore le domaine de l’attaquant comme suffixe.

Par exemple, bber.example pourrait se connecter sur jabber.example et réussir à usurper tout serveur vulnérable sur le réseau.

Cette publication corrige aussi une régression introduite dans le correctif précédent CVE-2016-1232 : s2s ne fonctionne pas si /dev/urandom est autorisé seulement en lecture.