Bulletin d'alerte Debian

DLA-881-1 ejabberd -- Mise à jour de sécurité pour LTS

Date du rapport :
1er avril 2017
Paquets concernés :
ejabberd
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 767521, Bogue 767535.
Dans le dictionnaire CVE du Mitre : CVE-2014-8760.
Plus de précisions :

Ejabberd n’impose pas le réglage starttls_required lorsque la compression est utilisée, ce qui fait que des clients établissent des connexions sans utiliser de chiffrement.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 2.1.10-4+deb7u2.

Cette mise à jour désactive aussi SSLv3 non sûr.

Nous vous recommandons de mettre à jour vos paquets ejabberd.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.