Säkerhetsbulletin från Debian
DSA-2248-1 ejabberd -- överbelastning
- Rapporterat den:
- 2011-03-31
- Berörda paket:
- ejabberd
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2011-1753.
- Ytterligare information:
-
Wouter Coekaerts upptäckte att ejabberd, en distribuerad XMPP/Jabber-server skriven i Erland, är sårbar för det så kallade
billion laughs
-angreppet eftersom det inte förhindrar entity expansion på mottagen data. Detta tillåter en angripare att utföra överbelastningsangrepp mot tjänsten genom att skicka speciellt skapad XML-data till den.För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 2.0.1-6+lenny3.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.1.5-3+squeeze1.
För uttestningsutgåvan (Wheezy) kommer detta problem att rättas inom kort
För den instabila distributionen (Sid) har detta problem rättats i version 2.1.6-2.1.
Vi rekommenderar att ni uppgraderar era ejabberd-paket.