2018-1049: Prosody: Eine Schwachstelle ermöglicht die Übertragung gültiger Sitzungen

Historie:

Version 1 (2018-06-01 19:07)

Neues Advisory

Version 2 (2018-06-04 14:52)

Für Debian Jessie (oldstable) und Stretch (stable) stehen Sicherheitsupdates für das Paket 'prosody' zur Behebung der Schwachstelle bereit.

Version 3 (2018-06-11 11:47)

Für openSUSE Leap 15.0 und openSUSE Leap 42.3 stehen Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
UNIX

Beschreibung:

Eine Schwachstelle in Prosody ermöglicht es einem entfernten, einfach authentifizierten Angreifer eine gültige Sitzung auf einen anderen Host derselben Prosody-Instanz zu übertragen. Das Problem betrifft Prosody-Instanzen mit mehreren virtuellen Hosts einschließlich Hosts mit aktiviertem 'SASL ANONYMOUS' Mechanismus.

Der Hersteller informiert über die Schwachstelle und stellt die Versionen 0.9.14 und 0.10.2 als Sicherheitsupdates für die jeweiligen Versionszweige bereit.

Für Fedora EPEL 6 und 7 sowie Fedora 27 und 28 stehen Sicherheitsupdates für Prosody auf Version 0.10.2 im Status 'testing' bereit.

Schwachstellen:

CVE-2018-10847

Schwachstelle in Prosody ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.