Информация по безопасности / 2011 / Информация о безопасности -- DSA-2248-1 ejabberd

Рекомендация Debian по безопасности

DSA-2248-1 ejabberd -- отказ в обслуживании

Дата сообщения:

31.03.2011

Затронутые пакеты:

ejabberd

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-1753.

Более подробная информация:

Вутер Кокертс обнаружил, что jabberd14, сервер для мгновенного обмена сообщениями по протоколу Jabber/XMPP, написанный на языке Erlang, уязвим к так называемой атаке миллиарда смайлов, поскольку он не предотвращает раскрытие сущностей в получаемых данных. Это позволяет злоумышленнику вызывать отказ в обслуживании путём отправки на сервер специально сформированных данных в формате XML.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 2.0.1-6+lenny3.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.1.5-3+squeeze1.

В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.1.6-2.1.

Рекомендуется обновить пакеты ejabberd.