Säkerhetsbulletin från Debian
DSA-2895-1 prosody -- säkerhetsuppdatering
- Rapporterat den:
- 2014-04-06
- Berörda paket:
- prosody
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.
- Ytterligare information:
-
En överbelastningssårbarhet har rapporterats för Prosody, en XMPP-server. Om kompression är aktiverat, kan en angripare skicka starkt komprimerade XML-element (angrepp känt som
zip-bomb
) över XMPP-strömmar och konsumera alla resurser i servern.Även SAX XML-tolken lua-expat påverkas av dessa problem.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 0.8.2-4+deb7u1 of prosody.
För den instabila utgåvan (Sid) har detta problem rättats i version 0.9.4-1 of prosody.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.2.0-5+deb7u1 of lua-expat.
För den instabila utgåvan (Sid) har detta problem rättats i version 1.3.0-1 lua-expat.
Vi rekommenderar att ni uppgraderar era prosody- och lua-expat-paket.