Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2775-1 ejabberd

Debians sikkerhedsbulletin

DSA-2775-1 ejabberd -- usikker anvendelse af SSL

Rapporteret den:

10. okt 2013

Berørte pakker:

ejabberd

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 722105.
I Mitres CVE-ordbog: CVE-2013-6169.

Yderligere oplysninger:

Man opdagede at ejabberd, en Jabber-/XMPP-server, anvendte SSLv2 og svage krypteringsalgoritmer til kommunikation, hvilket betragtes som usikkert. Softwaren tilbyder ingen opsætningsindstillinger på kørselstidspunktet, som kan deaktivere dem. Denne opdatering deaktiverer anvendelse af SSLv2 og svage Krypteringsalgoritmer.

Den opdaterede pakke til Debian 7 (wheezy) indeholder også ekstra fejlrettelser, oprindelig planlagt til den næste stabile punktopdatering.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 2.1.5-3+squeeze2.

I den stabile distribution (wheezy), er dette problem rettet i version 2.1.10-4+deb7u1.

I distributionen testing (jessie) og i den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine ejabberd-pakker.