Säkerhetsbulletin från Debian
DSA-3943-1 gajim -- säkerhetsuppdatering
- Rapporterat den:
- 2017-08-14
- Berörda paket:
- gajim
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 863445.
I Mitres CVE-förteckning: CVE-2016-10376. - Ytterligare information:
-
Gajim, en GTK+-baserad XMPP/Jabber-klient, implementerar ovillkorligt "XEP-0146: Remote Controlling Clients"-utökningen, vilket tillåter en illasinnad XMPP-server att trigga kommandon för att läcka privata konversationer från krypterade sessioner. Med denna uppdatering inaktiveras XEP-0146-stöd som standard och görs valbart via
remote_commands
-alternativet.För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 0.16-1+deb8u2.
För den stabila utgåvan (Stretch), har detta problem rättats innan den ursprungliga utgåvan.
Vi rekommenderar att ni uppgraderar era gajim-paket.