Bulletin d'alerte Debian
DSA-2775-1 ejabberd -- Utilisation non sûre de SSL
- Date du rapport :
- 10 octobre 2013
- Paquets concernés :
- ejabberd
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 722105.
Dans le dictionnaire CVE du Mitre : CVE-2013-6169. - Plus de précisions :
-
ejabberd, un serveur Jabber/XMPP, utilise SSLv2 et des chiffrements faibles qui sont considérés non sûrs pour communiquer. Le logiciel ne propose pas d'option de configuration pour les désactiver. Cette mise à jour désactive l'utilisation de SSLv2 et des chiffrements faibles.
Le paquet mis à jour pour Debian 7 (Wheezy) contient également d'autres corrections de bogues prévues à l'origine pour la prochaine mise à jour mineure.
Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 2.1.5-3+squeeze2.
Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.1.10-4+deb7u1.
Pour la distribution testing (Jessie) et la distribution unstable (Sid), ce problème sera corrigé prochainement.
Nous vous recommandons de mettre à jour vos paquets ejabberd.