Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4216-1 prosody

Aviso de seguridad de Debian

DSA-4216-1 prosody -- actualización de seguridad

Fecha del informe:

2 de jun de 2018

Paquetes afectados:

prosody

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 900524.
En el diccionario CVE de Mitre: CVE-2018-10847.

Información adicional:

Se descubrió que Prosody, un servidor Jabber/XMPP ligero, no valida correctamente los parámetros proporcionados por el cliente al reiniciar transmisiones XMPP, lo que permite que usuarios autenticados sobreescriban el dominio («realm») asociado con su sesión, sorteando, potencialmente, las políticas de seguridad y permitiendo la suplantación.

El aviso del proyecto original contiene más detalles: https://prosody.im/security/advisory_20180531/.

Para la distribución «antigua estable» (jessie), este problema se ha corregido en la versión 0.9.7-2+deb8u4.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 0.9.12-2+deb9u2.

Le recomendamos que actualice los paquetes de prosody.

Para información detallada sobre el estado de seguridad de prosody consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/prosody