Debians sikkerhedsbulletin
DSA-2169-1 telepathy-gabble -- utilstrækkelig validering af inddata
- Rapporteret den:
- 16. feb 2011
- Berørte pakker:
- telepathy-gabble
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- Der er pt. ingen tilgængelige eksterne sikkerhedsreferencer i andre databaser.
- Yderligere oplysninger:
-
Man opdagede at telepathy-gabble, connectionmanageren i Jabber/XMPP til Telepathy-frameworket, behandlede google:jingleinfo-opdateringer uden at validere deres ophav. Det kunne måske gøre det muligt for an angriber, at narre telepathy-gabble til at videregive streamed media-data gennem en server af dennes valg, og dermed opfange audio- og videoopkald.
I den gamle stabile distribution (lenny), er dette problem rettet i version 0.7.6-1+lenny1.
I den stabile distribution (squeeze), er dette problem rettet i version 0.9.15-1+squeeze1.
I distributionen testing (wheezy) og i den ustabile distributions (sid), vil problemet snart blive rettet.
Vi anbefaler at du opgraderer dine telepathy-gabble-pakker.