Bulletin d'alerte Debian

DSA-2775-1 ejabberd -- Utilisation non sûre de SSL

Date du rapport :
10 octobre 2013
Paquets concernés :
ejabberd
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 722105.
Dans le dictionnaire CVE du Mitre : CVE-2013-6169.
Plus de précisions :

ejabberd, un serveur Jabber/XMPP, utilise SSLv2 et des chiffrements faibles qui sont considérés non sûrs pour communiquer. Le logiciel ne propose pas d'option de configuration pour les désactiver. Cette mise à jour désactive l'utilisation de SSLv2 et des chiffrements faibles.

Le paquet mis à jour pour Debian 7 (Wheezy) contient également d'autres corrections de bogues prévues à l'origine pour la prochaine mise à jour mineure.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 2.1.5-3+squeeze2.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.1.10-4+deb7u1.

Pour la distribution testing (Jessie) et la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets ejabberd.