Debian DSA-2895-1:prosody - セキュリティ更新
medium Nessus プラグイン ID 73351
Language:
概要
リモート Debian ホストに、セキュリティ更新がありません。説明
XMPP サーバーである Prosody で、サービス拒否脆弱性が報告されました。圧縮が有効な場合、攻撃者は、高度に圧縮された XML 要素を XMPP ストリームで送信して(「zip bomb」として知られている攻撃)、サーバーのリソースをすべて消費することがあります。SAX XML パーサー lua-expat も、この問題の影響を受けます。
ソリューション
prosody パッケージおよび lua-expat パッケージを、アップグレードしてください。安定版(stable)ディストリビューション(wheezy)では、この問題は prosody のバージョン 0.8.2-4+deb7u1 で修正されました。
安定版(stable)ディストリビューション(wheezy)では、この問題は lua-expat のバージョン 1.2.0-5+deb7u1 で修正されました。
参考資料
プラグインの詳細
深刻度: Medium
ID: 73351
ファイル名: debian_DSA-2895.nasl
バージョン: 1.10
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2014/4/7
更新日: 2021/1/11
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:prosody, cpe:/o:debian:debian_linux:7.0
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/4/6
参照情報
BID: 66670
DSA: 2895