Säkerhetsbulletin från Debian

DSA-3943-1 gajim -- säkerhetsuppdatering

Rapporterat den:
2017-08-14
Berörda paket:
gajim
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 863445.
I Mitres CVE-förteckning: CVE-2016-10376.
Ytterligare information:

Gajim, en GTK+-baserad XMPP/Jabber-klient, implementerar ovillkorligt "XEP-0146: Remote Controlling Clients"-utökningen, vilket tillåter en illasinnad XMPP-server att trigga kommandon för att läcka privata konversationer från krypterade sessioner. Med denna uppdatering inaktiveras XEP-0146-stöd som standard och görs valbart via remote_commands-alternativet.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 0.16-1+deb8u2.

För den stabila utgåvan (Stretch), har detta problem rättats innan den ursprungliga utgåvan.

Vi rekommenderar att ni uppgraderar era gajim-paket.