Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2169-1 telepathy-gabble

Bulletin d'alerte Debian

DSA-2169-1 telepathy-gabble -- Validations des entrées insuffisantes

Date du rapport :

16 février 2011

Paquets concernés :

telepathy-gabble

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

On a découvert que telepathy-gabble, le gestionnaire de connexion Jabber/XMPP pour la structure Telepathy, traite les mises à jour google:jingleinfo sans validation de leur origine. Cela peut permettre à un attaquant de duper telepathy-gabble en le faisant relayer des données de flux de média vers un serveur de son choix et intercepter ainsi des appels audio et vidéo.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.7.6-1+lenny1.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.9.15-1+squeeze1.

Pour les distributions testing (Wheezy) et unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets telepathy-gabble.