Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4216-1 prosody

Säkerhetsbulletin från Debian

DSA-4216-1 prosody -- säkerhetsuppdatering

Rapporterat den:

2018-06-02

Berörda paket:

prosody

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 900524.
I Mitres CVE-förteckning: CVE-2018-10847.

Ytterligare information:

Man har upptäckt att Prosody, en lättviktig Jabber/XMPP-server, inte validerar klienttillhandahållna parametrar under omstart av XMPP-strömmar ordentligt, vilket tillåter autentiserade användare att åsidosätta sfären som assoicieras med deras session, vilket potentiellt tillåter förbigång av säkerhetspolicys och tillåter personifiering.

Detaljer kan hittas i uppströmsbulletinen på https://prosody.im/security/advisory_20180531/

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 0.9.7-2+deb8u4.

För den stabila utgåvan (Stretch) har detta problem rättats i version 0.9.12-2+deb9u2.

Vi rekommenderar att ni uppgraderar era prosody-paket.

För detaljerad säkerhetsstatus om prosody vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/prosody