Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Prosody <= 0.9.9 Betroffene Plattformen: Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Ein bösartiger Prosody-XMPP-Server, als entfernter, nicht authentifizierter Angreifer, kann einen anderen Server imitieren, falsche Informationen darstellen und in der Folge möglicherweise Informationen ausspähen. Fedora stellt für die Distributionen Fedora 22 und 23 sowie Fedora EPEL 5, 6 und 7 mit den Paketen prosody-0.9.10-1.fc22, prosody-0.9.10-1.fc23, prosody-0.9.10-1.el5, prosody-0.9.10-1.el6 und prosody-0.9.10-1.el7 Sicherheitsupdates bereit, die sich überwiegend bereits im Status 'testing' befinden. Patch: Fedora Security Update FEDORA-2016-5a5c85c5a8 (Fedora 23) https://bodhi.fedoraproject.org/updates/FEDORA-2016-5a5c85c5a8

Patch:

Fedora Security Update FEDORA-2016-e2c5111eda (Fedora 22)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-e2c5111eda

Patch:

Fedora Security Update FEDORA-EPEL-2016-579c4e2951 (Fedora EPEL 6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-579c4e2951

Patch:

Fedora Security Update FEDORA-EPEL-2016-5a2146a2dd (Fedora EPEL 5)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-5a2146a2dd

Patch:

Fedora Security Update FEDORA-EPEL-2016-69b4d0e57c (Fedora EPEL 7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-69b4d0e57c

Patch:

Prosody security advisory 2016/01/27

https://prosody.im/security/advisory_20160127/

CVE-2016-0756: Schwachstelle in Prosody ermöglicht Darstellen falscher
Informationen

Das Modul ‘mod_dialback’ des
Extensible-Messaging-and-Presence-Protocol-Servers (XMPP-Server, ehemals
Jabber) Prosody erlaubt es, einen angreifbaren Server zu imitieren. Dazu
muss dessen Name den Namen des angreifenden Servers als Suffix beinhalten.
Beispielsweise kann der Server ‘bber.example’ sich mit ‘jabber.example’
verbinden und jeden verwundbaren Server des Netzwerks imitieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0165/

Fedora Security Update FEDORA-2016-5a5c85c5a8 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-5a5c85c5a8

Fedora Security Update FEDORA-2016-e2c5111eda (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-e2c5111eda

Fedora Security Update FEDORA-EPEL-2016-579c4e2951 (Fedora EPEL 6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-579c4e2951

Fedora Security Update FEDORA-EPEL-2016-5a2146a2dd (Fedora EPEL 5):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-5a2146a2dd

Fedora Security Update FEDORA-EPEL-2016-69b4d0e57c (Fedora EPEL 7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-69b4d0e57c

Prosody security advisory 2016/01/27:
https://prosody.im/security/advisory_20160127/

Schwachstelle CVE-2016-0756 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0756

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.