Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
prosody
(any)
Описание
Уязвимости существуют в Prosody (Jabber/XMPP-сервере с низким потреблением ресурсов).
CVE-2016-1231
Уязвимость в модуле предоставления файлов HTTP, связанная с обработкой запросов, относящихся к данным за пределами общедоступного корневого каталога, позволяет злоумышленникам, действующим удаленно, получить доступ к закрытым файлам, содержащим конфиденциальную информацию. При стандартных настройках (по умолчанию) модуль mod_http_files отключен, поэтому уязвимость в данном случае отсутствует.
CVE-2016-1232
Уязвимость существует в Prosody из-за использования ненадежного и криптографически небезопасного генератора случайных чисел при генерировании секретного токена для аутентификации типа "сервер-сервер" с обратным вызовом. Эксплуатация данной уязвимости позволяет злоумышленникам, действующим удаленно, подобрать значения секретного ключа и подменить домен для серверов сети.
Для предыдущего стабильного дистрибутива (wheezy) уязвимости устранены в версии 0.8.2-4+deb7u3.
Для стабильного дистрибутива (jessie) уязвимости устранены в версии 0.9.7-2+deb8u2.
Рекомендуется обновить пакеты prosody.
CVE-2016-1231
Уязвимость в модуле предоставления файлов HTTP, связанная с обработкой запросов, относящихся к данным за пределами общедоступного корневого каталога, позволяет злоумышленникам, действующим удаленно, получить доступ к закрытым файлам, содержащим конфиденциальную информацию. При стандартных настройках (по умолчанию) модуль mod_http_files отключен, поэтому уязвимость в данном случае отсутствует.
CVE-2016-1232
Уязвимость существует в Prosody из-за использования ненадежного и криптографически небезопасного генератора случайных чисел при генерировании секретного токена для аутентификации типа "сервер-сервер" с обратным вызовом. Эксплуатация данной уязвимости позволяет злоумышленникам, действующим удаленно, подобрать значения секретного ключа и подменить домен для серверов сети.
Для предыдущего стабильного дистрибутива (wheezy) уязвимости устранены в версии 0.8.2-4+deb7u3.
Для стабильного дистрибутива (jessie) уязвимости устранены в версии 0.9.7-2+deb8u2.
Рекомендуется обновить пакеты prosody.
Как исправить
Для устранения уязвимости необходимо установить следующие версии пакетов, соответствующие используемой архитектуре:
Debian GNU/Linux 8:
для всех архитектур:
prosody - 0.9.7-2+deb8u2
Debian GNU/Linux 7:
для всех архитектур:
prosody - 0.8.2-4+deb7u3
Debian GNU/Linux 8:
для всех архитектур:
prosody - 0.9.7-2+deb8u2
Debian GNU/Linux 7:
для всех архитектур:
prosody - 0.8.2-4+deb7u3
Ссылки
http://www.debian.org/security/dsa-3439/
Источник: CVE
Наименование: CVE-2016-1232
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1232
Источник: CVE
Наименование: CVE-2016-1231
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1231
Источник: CVE
Наименование: CVE-2016-1232
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1232
Источник: CVE
Наименование: CVE-2016-1231
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1231
