Debians sikkerhedsbulletin
DSA-3439-1 prosody -- sikkerhedsopdatering
- Rapporteret den:
- 10. jan 2016
- Berørte pakker:
- prosody
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2016-1231, CVE-2016-1232.
- Yderligere oplysninger:
-
To sårbarheder blev opdaget i Prosody, en letvægts-Jabber-/XMPP-server. Projektet Common Vulnerabilities and Exposures har registeret følgende problemer:
- CVE-2016-1231
Kim Alvefur opdagede en fejl i Prosodys HTTP-filserveringsmodul, hvilket medførte at det håndterede forespørgsler uden for den opsatte, offentlige rodmappe. En fjernangriber kunne udnytte fejlen til at tilgå private filer, herunder følsomme data. Standardopsætningen aktiverer ikke modulet mod_http_files module og er dermed ikke sårbar.
- CVE-2016-1232
Thijs Alkemade opdagede at Prosodys generering af det hemmelige token til server til server-tilbagekaldsautentifikation, anvendte en svag generator af tilfældige tal, som ikke var kryptografisk sikker. En fjernangriber kunne udnytte fejlen til at gætte på sandsynlige værdier for den hemmelige nøgle, og over for andre servere i netværket, udgive sig for at være det påvirkede domæne.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 0.8.2-4+deb7u3.
I den stabile distribution (jessie), er disse problemer rettet i version 0.9.7-2+deb8u2.
Vi anbefaler at du opgraderer dine prosody-pakker.
- CVE-2016-1231