Bulletin d'alerte Debian
DSA-2248-1 ejabberd -- Déni de service
- Date du rapport :
- 31 mars 2011
- Paquets concernés :
- ejabberd
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2011-1753.
- Plus de précisions :
-
Wouter Coekaerts a découvert qu'ejabberd, un serveur XMPP/Jabber distribué écrit en Erlang, est vulnérable à l'attaque d'
XML entity expansion
parce qu'il n'empêche pas l'expansion d'entité sur les données reçues. Cela permet à un attaquant de réaliser des attaques par déni de service contre le service en lui envoyant des données XML contrefaites pour l'occasion.Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.0.1-6+lenny3.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.1.5-3+squeeze1.
Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.1.6-2.1.
Nous vous recommandons de mettre à jour vos paquets ejabberd.