Рекомендация Debian по безопасности

DSA-4216-1 prosody -- обновление безопасности

Дата сообщения:
02.06.2018
Затронутые пакеты:
prosody
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 900524.
В каталоге Mitre CVE: CVE-2018-10847.
Более подробная информация:

Было обнаружено, что Prosody, легковесный сервер Jabber/XMPP, неправильно выполняет проверку передаваемых клиентом параметров в ходе перезапусков XMPP-потока, позволяя аутентифицированным пользователям переопределять связанную с их сессией поименованную область, потенциально обходя ограничения правил безопасности и выдавая себя за кого-то другого.

Подробности могут быть найдены в рекомендации основной ветки разработки по адресу https://prosody.im/security/advisory_20180531/

В предыдущем стабильном выпуске (jessie) эта проблема была исправлена в версии 0.9.7-2+deb8u4.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 0.9.12-2+deb9u2.

Рекомендуется обновить пакеты prosody.

С подробным статусом поддержки безопасности prosody можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/prosody