Debians sikkerhedsbulletin
DSA-3943-1 gajim -- sikkerhedsopdatering
- Rapporteret den:
- 14. aug 2017
- Berørte pakker:
- gajim
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 863445.
I Mitres CVE-ordbog: CVE-2016-10376. - Yderligere oplysninger:
-
Gajim, en GTK+-baseret XMPP-/Jabber-klient, implementerer betingelsesløst udgivelsen
XEP-0146: Remote Controlling Clients
, som gør det muligt for en ondsindet XMPP-server, at udløse kommandoer der lækker private samtaler fra krypterede sessioner. Med denne opdatering deaktiveres understøttelse af XEP-0146 som standard, og er gjort valgfri med indstillingenremote_commands
.I den gamle stabile distribution (jessie), er dette problem rettet i version 0.16-1+deb8u2.
I den stabile distribution (stretch), er dette problem rettet før den første udgivelse.
Vi anbefaler at du opgraderer dine gajim-pakker.