Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2248-1 ejabberd

Säkerhetsbulletin från Debian

DSA-2248-1 ejabberd -- överbelastning

Rapporterat den:

2011-03-31

Berörda paket:

ejabberd

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2011-1753.

Ytterligare information:

Wouter Coekaerts upptäckte att ejabberd, en distribuerad XMPP/Jabber-server skriven i Erland, är sårbar för det så kallade billion laughs-angreppet eftersom det inte förhindrar entity expansion på mottagen data. Detta tillåter en angripare att utföra överbelastningsangrepp mot tjänsten genom att skicka speciellt skapad XML-data till den.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 2.0.1-6+lenny3.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.1.5-3+squeeze1.

För uttestningsutgåvan (Wheezy) kommer detta problem att rättas inom kort

För den instabila distributionen (Sid) har detta problem rättats i version 2.1.6-2.1.

Vi rekommenderar att ni uppgraderar era ejabberd-paket.