Debian セキュリティ勧告
DSA-2169-1 telepathy-gabble -- 入力の不十分な検証
- 報告日時:
- 2011-02-16
- 影響を受けるパッケージ:
- telepathy-gabble
- 危険性:
- あり
- 参考セキュリティデータベース:
- 現時点では、その他の外部参考セキュリティデータベースはありません。
- 詳細:
-
Telepathy フレームワークの Jabbar/XMPP コネクションマネージャ telepathy-gabble で、google:jingleinfo の更新が提供元を確認しないで処理 されていることが発見されました。この欠陥により、攻撃者は telepathy-gabble を騙してストリームメディアを任意のサーバで中継させるこ とができるため、オーディオおよびビデオ読み出しに介入することが可能です。
旧安定版 (oldstable) ディストリビューション (lenny) では、この問題はバー ジョン 0.7.6-1+lenny1 で修正されています。
安定版 (stable) ディストリビューション (squeeze) では、この問題はバージ ョン 0.9.15-1+squeeze1 で修正されています。
テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、 この問題は近く修正予定です。
直ぐに telepathy-gabble パッケージをアップグレードすることを勧めます。