漏洞信息详情
Prosody mod_dialback模块安全漏洞
- CNNVD编号:CNNVD-201601-684 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2016-0756
- 漏洞类型: 输入验证
- 发布时间: 2016-01-29
- 威胁类型: 远程
- 更新时间: 2016-02-01
- 厂 商: prosody
- 漏洞来源:
-
漏洞简介
Prosody是一套使用Lua语言编写的Jabber/XMPP通信服务器软件。mod_dialback是其中的一个用于本地服务器之间通信的身份验证模块。
Prosody 0.9.10之前版本的mod_dialback模块中的‘generate_dialback’函数存在安全漏洞,该漏洞源于程序生成回拨密钥时没有正确区分字段。远程攻击者可借助以后缀形式包含在目标域中的特制的数据流ID和域名,利用该漏洞伪造XMPP网络域。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://prosody.im/security/advisory_20160127/
参考网址
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2016/01/27/10
来源:blog.prosody.im
链接:http://blog.prosody.im/prosody-0-9-10-released/
来源:prosody.im
链接:https://prosody.im/security/advisory_20160127/
来源:prosody.im
链接:https://prosody.im/issues/issue/596
受影响实体
- Prosody Prosody:0.9.9<!--2000-1-1-->
补丁
- Prosody mod_dialback模块安全漏洞的修复措施<!--2016-2-1-->
还没有评论,来说两句吧...