Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2895-1 prosody

Bulletin d'alerte Debian

DSA-2895-1 prosody -- Mise à jour de sécurité

Date du rapport :

6 avril 2014

Paquets concernés :

prosody

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Une vulnérabilité de déni de service a été signalée dans Prosody, un serveur XMPP. Si la compression est activée, un attaquant peut envoyer des éléments XML fortement compressés (attaque connue sous le nom de bombe zip) sur des flux XMPP et consommer toutes les ressources du serveur.

L'analyseur SAX XML lua-expat est aussi affecté par ce problème.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 0.8.2-4+deb7u1 de prosody.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.9.4-1 de prosody.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.2.0-5+deb7u1 de lua-expat.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.3.0-1 lua-expat.

Nous vous recommandons de mettre à jour vos paquets prosody et lua-expat.