Информация по безопасности / 2013 / Информация о безопасности -- DSA-2775-1 ejabberd

Рекомендация Debian по безопасности

DSA-2775-1 ejabberd -- небезопасное использование SSL

Дата сообщения:

10.10.2013

Затронутые пакеты:

ejabberd

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 722105.
В каталоге Mitre CVE: CVE-2013-6169.

Более подробная информация:

Было обнаружено, что ejabberd, сервер Jabber/XMPP, использует SSLv2 и слабые утилиты шифрования для сообщений, что считается небезопасным. ПО не предлагает опций для настройки во время выполнения, позволяющих это отключить. Данное обновление отключает использование SSLv2 и слабых шифров.

Обновлённый пакет для Debian 7 (wheezy) также содержит вспомогательные исправления ошибок, изначально задержанные для следующей редакции стабильного выпуске.

В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.1.5-3+squeeze2.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 2.1.10-4+deb7u1.

В тестируемом выпуске (jessie), а также в нестабильном выпуске (sid), эта проблема будет исправлена позже.

Мы рекомендуем вам обновить ваши пакеты ejabberd.