• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2895-1 prosody -- обновление безопасности

Главная Специалистам База уязвимостей DSA-2895-1 prosody -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
prosody (any)
Описание
Было сообщено об уязвимости в Prosody, сервере XMPP,
которая проявляется в отказе в обслуживании. Если включено сжатие, атакующий может отправить сжатые элементы XML
(атака известна как zip-бомба) через потоки XMPP, что приведёт к исчерпанию
ресурсов сервера.
ПО для грамматического разбора SAX XML из пакета lua-expat также подвержено этой проблеме.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 0.8.2-4+deb7u1 пакета prosody.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 0.9.4-1 пакета prosody.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 1.2.0-5+deb7u1 пакета lua-expat.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 1.3.0-1 пакета lua-expat.
Рекомендуется обновить пакеты prosody и lua-expat.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
prosody - 0.8.2-4+deb7u1