Информация по безопасности / 2014 / Информация о безопасности -- DSA-2895-1 prosody

Рекомендация Debian по безопасности

DSA-2895-1 prosody -- обновление безопасности

Дата сообщения:

06.04.2014

Затронутые пакеты:

prosody

Уязвим:

Да

Ссылки на базы данных по безопасности:

На данный момент ссылки на внешние базы данных по безопасности отсутствуют.

Более подробная информация:

Было сообщено об уязвимости в Prosody, сервере XMPP, которая проявляется в отказе в обслуживании. Если включено сжатие, атакующий может отправить сжатые элементы XML (атака известна как zip-бомба) через потоки XMPP, что приведёт к исчерпанию ресурсов сервера.

ПО для грамматического разбора SAX XML из пакета lua-expat также подвержено этой проблеме.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 0.8.2-4+deb7u1 пакета prosody.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.9.4-1 пакета prosody.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.2.0-5+deb7u1 пакета lua-expat.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.3.0-1 пакета lua-expat.

Рекомендуется обновить пакеты prosody и lua-expat.