Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2248-1 ejabberd

Bulletin d'alerte Debian

DSA-2248-1 ejabberd -- Déni de service

Date du rapport :

31 mars 2011

Paquets concernés :

ejabberd

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-1753.

Plus de précisions :

Wouter Coekaerts a découvert qu'ejabberd, un serveur XMPP/Jabber distribué écrit en Erlang, est vulnérable à l'attaque d'XML entity expansion parce qu'il n'empêche pas l'expansion d'entité sur les données reçues. Cela permet à un attaquant de réaliser des attaques par déni de service contre le service en lui envoyant des données XML contrefaites pour l'occasion.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.0.1-6+lenny3.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.1.5-3+squeeze1.

Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.1.6-2.1.

Nous vous recommandons de mettre à jour vos paquets ejabberd.