Bulletin d'alerte Debian

DLA-2687-1 prosody -- Mise à jour de sécurité pour LTS

Date du rapport :
16 juin 2021
Paquets concernés :
prosody
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-32917, CVE-2021-32921.
Plus de précisions :

Deux problèmes de sécurité ont été découverts dans prosody.

  • CVE-2021-32917

    Le composant proxy65 autorise par défaut un accès ouvert, même si aucun utilisateur n’a un compte XMPP sur le serveur local, permettant une utilisation non limitée de la bande passante du serveur.

  • CVE-2021-32921

    Le module d’authentification n’utilise pas un algorithme à temps constant pour comparer certaines chaînes secrètes lors d’une exécution sous Lua 5.2 ou une version ultérieure. Cela peut être utilisé éventuellement dans une attaque temporelle pour révéler le contenu des chaînes secrètes.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.9.12-2+deb9u3.

Nous vous recommandons de mettre à jour vos paquets prosody.

Pour disposer d'un état détaillé sur la sécurité de prosody, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/prosody.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.