Säkerhetsbulletin från Debian
DSA-2250-1 citadel -- överbelastning
- Rapporterat den:
- 2011-03-31
- Berörda paket:
- citadel
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2011-1756.
- Ytterligare information:
-
Wouter Coekaerts upptäckte att Jabberserverkomponenten i Citadel, en komplett och funktionsrik groupwareserver, är sårbar för det så-kallade
billion laughs
-angreppet eftersom den inte förhindrar entity-expansion på mottagen data. Detta tillåter en angripare att utföra överbelastningsangrepp mot tjänsten genom att skicka speciellt skapad XML-data till den.För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 7.37-8+lenny1.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 7.83-2squeeze2.
För uttestningsdistributionen (Wheezy) och den instabila distributionen (Sid), kommer detta problem att rättas inom kort.
Vi rekommenderar att ni uppgraderar era citadel-paket.