Säkerhetsbulletin från Debian

DSA-2248-1 ejabberd -- överbelastning

Rapporterat den:
2011-03-31
Berörda paket:
ejabberd
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2011-1753.
Ytterligare information:

Wouter Coekaerts upptäckte att ejabberd, en distribuerad XMPP/Jabber-server skriven i Erland, är sårbar för det så kallade billion laughs-angreppet eftersom det inte förhindrar entity expansion på mottagen data. Detta tillåter en angripare att utföra överbelastningsangrepp mot tjänsten genom att skicka speciellt skapad XML-data till den.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 2.0.1-6+lenny3.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.1.5-3+squeeze1.

För uttestningsutgåvan (Wheezy) kommer detta problem att rättas inom kort

För den instabila distributionen (Sid) har detta problem rättats i version 2.1.6-2.1.

Vi rekommenderar att ni uppgraderar era ejabberd-paket.