Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3943-1 gajim

Bulletin d'alerte Debian

DSA-3943-1 gajim -- Mise à jour de sécurité

Date du rapport :

14 août 2017

Paquets concernés :

gajim

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 863445.
Dans le dictionnaire CVE du Mitre : CVE-2016-10376.

Plus de précisions :

Gajim, un client XMPP/Jabber basé sur GTK+, met en œuvre de façon inconditionnelle l'extension « XEP-0146: Remote Controlling Clients » permettant à un serveur XMPP malveillant de déclencher des commandes pour divulguer des conversations privées provenant de sessions chiffrées. Avec cette mise à jour, la prise en charge de XEP-0146 a été désactivée par défaut et rendue optionnelle à travers l'option remote_commands.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 0.16-1+deb8u2.

Pour la distribution stable (Stretch), ce problème a été corrigé avant publication initiale.

Nous vous recommandons de mettre à jour vos paquets gajim.