Sikkerhedsoplysninger / 2018 / Sikkerhedsoplysninger -- DSA-4216-1 prosody

Debians sikkerhedsbulletin

DSA-4216-1 prosody -- sikkerhedsopdatering

Rapporteret den:

2. jun 2018

Berørte pakker:

prosody

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 900524.
I Mitres CVE-ordbog: CVE-2018-10847.

Yderligere oplysninger:

Man opdagede at Prosody, en letvægts-Jabber-/XMPP-server, ikke på korrekt vis validerede klientleverede parametre under genstart af XMPP-strømme, hvilket gjorde det muligt for autentificerede brugere at overskrive det realm, som er forbundet med deres session, potentielt omgående sikkerhedsregler og tilladende imitation af andre.

Flere oplysninger finder man i opstrøms bulletin på: https://prosody.im/security/advisory_20180531/

I den gamle stabile distribution (jessie), er dette problem rettet i version 0.9.7-2+deb8u4.

I den stabile distribution (stretch), er dette problem rettet i version 0.9.12-2+deb9u2.

Vi anbefaler at du opgraderer dine prosody-pakker.

For detaljeret sikkerhedsstatus vedrørende prosody, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/prosody