Информация по безопасности / 2013 / Информация о безопасности -- DSA-2702-1 telepathy-gabble

Рекомендация Debian по безопасности

DSA-2702-1 telepathy-gabble -- обход проверки TLS

Дата сообщения:

03.06.2013

Затронутые пакеты:

telepathy-gabble

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-1431.

Более подробная информация:

Максим Отставнов обнаружил, что подмодуль Wocky, используемый telepathy-gabble, менеджером подключений Jabber/XMPP для инфраструктуры Telepathy, не учитывает флаг tls-required на устаревших серверах Jabber. Сетевой посредник может использовать данную уязвимость для обхода проверки TLS и выполнить атаку по принципу человек в середине.

В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 0.9.15-1+squeeze2.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 0.16.5-1+deb7u1.

В тестируемом (jessie) и нестабильном (sid) выпусках эта проблема была исправлена в версии 0.16.6-1.

Рекомендуется обновить пакеты telepathy-gabble.