セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2775-1 ejabberd

Debian セキュリティ勧告

DSA-2775-1 ejabberd -- 安全でない SSL 利用

報告日時:

2013-10-10

影響を受けるパッケージ:

ejabberd

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 722105.
Mitre の CVE 辞書: CVE-2013-6169.

詳細:

ejabberd、Jabber/XMPP サーバが SSLv2 や弱い暗号を通信に利用していることが発見されました。 これは安全ではないものと考えられます。 このソフトウェアはそれを無効化するための実行時の設定オプションを提供していません。 この更新では SSLv2 や弱い暗号の利用を無効化します。

Debian 7 (wheezy) 向けに更新されたパッケージには元々次期安定版 (stable) ポイントリリース向けに用意していたバグ修正も収録しています。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 2.1.5-3+squeeze2 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.1.10-4+deb7u1 で修正されています。

テスト版 (testing) ディストリビューション (jessie) 及び不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。

直ちに ejabberd パッケージをアップグレードすることを勧めます。