Re: [TAF] wml://security/2011/dsa-2169.wml

[Alexander Reshetov <eof@debian-by.org>]

On Wed, Mar 02, 2011 at 06:37:16PM +0300, Vladimir Zhbanov wrote:
> On Wed, Mar 02, 2011 at 01:10:34AM +0200, Alexander Reshetov wrote:
> ...
> > > > <p>It was discovered that telepathy-gabble, the Jabber/XMMP connection manager
> > > > for the Telepathy framework, is processing google:jingleinfo updates without
> > > > validating their origin.  This may allow an attacker to trick telepathy-gabble
> > > > into relaying streamed media data through a server of his choice and thus
> > > > intercept audio and video calls.</p>
> > > <p>Было обнаружено, что telepathy-gabble, менеджер соединений
> > > Jabber/XMMP для программного каркаса Telepathy, обрабатывает обновления
> > > google:jingleinfo без проверки достоверности их источников.  Это может
> > > позволить злоумышленнику обманом заставить telepathy-gabble передавать
> > > потоковые мультимедийные данные через выбранный им сервер и, таким
> > > образом, перехватывать обращение к аудио- и видеоданным.</p>
> > 
> > <p>Было обнаружено, что telepathy-gabble, менеджер соединений
> > Jabber/XMMP для фреймворка Telepathy, обрабатывает обновления
> > google:jingleinfo без проверки достоверности их источников.  Это может
> > позволить злоумышленнику обманом заставить telepathy-gabble передавать
> > потоковые мультимедийные данные через выбранный им сервер и, таким
> > образом, перехватывать аудио- и видеозвонки.</p>
> > 
> Меня смутило XMMP: должно быть XMPP -- две небольшие разницы :)

Да, я с утра перечитывал этот DSA, тоже заметил.
Сообщил как добрался до своей системы. Уже и поправили.
Итого:

<p>Было обнаружено, что telepathy-gabble, менеджер соединений
Jabber/XMPP для фреймворка Telepathy, обрабатывает обновления
google:jingleinfo без проверки достоверности их источников.  Это может
позволить злоумышленнику обманом заставить telepathy-gabble передавать
потоковые мультимедийные данные через выбранный им сервер и, таким
образом, перехватывать аудио- и видеозвонки.</p>