Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3439-1 prosody

Bulletin d'alerte Debian

DSA-3439-1 prosody -- Mise à jour de sécurité

Date du rapport :

10 janvier 2016

Paquets concernés :

prosody

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-1231, CVE-2016-1232.

Plus de précisions :

Deux vulnérabilités ont été découvertes dans Prosody, un serveur Jabber/XMPP léger. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2016-1231

  Kim Alvefur a découvert un défaut dans le module HTTP de serveur de fichiers de Prosody qui lui permet de répondre à des requêtes en dehors du répertoire public racine configuré. Un attaquant distant peut exploiter ce défaut pour accéder à des fichiers privés y compris des données sensibles. La configuration par défaut n'active pas le module mod_http_files et, donc, n'est pas vulnérable.

• CVE-2016-1232

  Thijs Alkemade a découvert que la génération par Prosody de jeton secret pour l'authentification de rappel de serveur à serveur reposait sur un générateur de nombres aléatoires faible qui n'était pas sûr d'un point de vue cryptographique. Un attaquant distant peut tirer avantage de ce défaut pour deviner les valeurs probables de la clé secrète et usurper le domaine affecté à d'autres serveurs du réseau.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 0.8.2-4+deb7u3.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 0.9.7-2+deb8u2.

Nous vous recommandons de mettre à jour vos paquets prosody.