Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2895-1 prosody

Debians sikkerhedsbulletin

DSA-2895-1 prosody -- sikkerhedsopdatering

Rapporteret den:

6. apr 2014

Berørte pakker:

prosody

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

Der er pt. ingen tilgængelige eksterne sikkerhedsreferencer i andre databaser.

Yderligere oplysninger:

En lammelsesangrebssårbared (denial of service) er rapporteret vedrørende Prosody, en XMPP-server. Hvis komprimering er aktiveret, kunne en angriber måske sende stærkt komprimerede XML-elementer (et angreb kendt som zip bomb eller zip-bombe) over XMPP-streams samt forbruge alle serverens ressourcer.

SAX XML-fortolkeren lua-expat var også påvirket af problemerne.

I den stabile distribution (wheezy), er dette problem rettet i version 0.8.2-4+deb7u1 of prosody.

I den ustabile distribution (sid), er dette problem rettet i version 0.9.4-1 of prosody.

I den stabile distribution (wheezy), er dette problem rettet i version 1.2.0-5+deb7u1 of lua-expat.

I den ustabile distribution (sid), er dette problem rettet i version 1.3.0-1 lua-expat.

Vi anbefaler at du opgraderer dine prosody- og lua-expat-pakker.