Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2250-1 citadel

Bulletin d'alerte Debian

DSA-2250-1 citadel -- Déni de service

Date du rapport :

31 mars 2011

Paquets concernés :

citadel

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-1756.

Plus de précisions :

Wouter Coekaerts a découvert que le serveur Jabber de Citadel, un serveur de logiciels de groupe complet et riche en fonctionnalités, est vulnérable à l'attaque d'XML entity expansion parce qu'il n'empêche pas l'expansion d'entité sur les données reçues. Cela permet à un attaquant de réaliser des attaques par déni de service contre le service en lui envoyant des données XML contrefaites pour l'occasion.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 7.37-8+lenny1.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 7.83-2squeeze2.

Pour les distributions testing (Wheezy) et unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets citadel.