检测

Debian DSA-2895-1:prosody - 安全更新

medium Nessus 插件 ID 73351

语言:

简介

远程 Debian 主机缺少与安全相关的更新。

描述

Prosody(一种 XMPP 服务器)中已报告存在拒绝服务漏洞。如果启用压缩,则攻击者可能通过 XMPP 流发送高度压缩的 XML 元素(称为“zip 炸弹”的攻击),并消耗所有的服务器资源。

SAX XML 解析器 lua-expat 也受到此问题的影响。

解决方案

升级 prosody 和 lua-expat 程序包。

对于稳定发行版本 (wheezy),已在 prosody 的版本 0.8.2-4+deb7u1 中修复此问题。

对于稳定发行版本 (wheezy),已在 lua-expat 的版本 1.2.0-5+deb7u1 中修复此问题。

另见

https://packages.debian.org/source/wheezy/prosody

https://www.debian.org/security/2014/dsa-2895

插件详情

严重性: Medium

ID: 73351

文件名: debian_DSA-2895.nasl

版本: 1.10

类型: local

代理: unix

发布时间: 2014/4/7

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:prosody, cpe:/o:debian:debian_linux:7.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2014/4/6

参考资料信息

BID: 66670

DSA: 2895