Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2775-1 ejabberd

Säkerhetsbulletin från Debian

DSA-2775-1 ejabberd -- osäker SSL-användning

Rapporterat den:

2013-10-10

Berörda paket:

ejabberd

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 722105.
I Mitres CVE-förteckning: CVE-2013-6169.

Ytterligare information:

Man har upptäckt att ejabberd, en Jabber/XMPP-server, använder SSLv2 och svaga krypteringsalgoritmer till kommunikation, vilket betraktas som osäkert. Mjukvara erbjuder inga runtimeinställningar för att inaktivera dessa. Den här uppdateringen inaktiverar användningen av SSLv2 och svaga krypteringsalgoritmer.

Det uppdaterade paketet för Debian 7 (Wheezy) innehåller även andra felrättningar som är planlagda för nästa stabila punktutgåva.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 2.1.5-3+squeeze2.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.1.10-4+deb7u1.

För uttestningsutgåvan (Jessie), och den instabila utgåvan (Sid), kommer detta problem rättas inom kort.

Vi rekommenderar att ni uppgraderar era ejabberd-paket.