Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3439-1 prosody

Säkerhetsbulletin från Debian

DSA-3439-1 prosody -- säkerhetsuppdatering

Rapporterat den:

2016-01-10

Berörda paket:

prosody

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2016-1231, CVE-2016-1232.

Ytterligare information:

Två sårbarheter upptäcktes i Prosody, en lättviktig Jabber/XMPP server. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2016-1231

  Kim Alvefur upptäckte en brist i Prosody's HTTP-filtjänstmodul som tillåter den att tillhandahålla förfrågningar utanför den konfigurerade publika rootmappen. En fjärrangripare kunde exploatera denna brist för att få åtkomst till privata filer inklusive känslig data. Standardinställningen aktiverar inte mod_http_files-modulen och därmed inte sårbar.

• CVE-2016-1232

  Thijs Alkemade upptäckte att Prosody's generering av hämliga nyckeln för server-till-server återringningsautentisering berodde på en svag slumptalsgenerator som inte var kryptografiskt säker. En fjärrangripare kan dra fördel av denna brist för att gissa troliga värden på hemliga nyckeln och imitera den påverkade domänen till andra servrar på nätverket.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 0.8.2-4+deb7u3.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 0.9.7-2+deb8u2.

Vi rekommenderar att ni uppgraderar era prosody-paket.