Bulletin d'alerte Debian

DSA-2249-1 jabberd14 -- Déni de service

Date du rapport :
31 mars 2011
Paquets concernés :
jabberd14
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-1754.
Plus de précisions :

Wouter Coekaerts a découvert que jabberd14, un serveur de messagerie instantanée utilisant le protocole XMPP/Jabber, est vulnérable à l'attaque d'XML entity expansion parce qu'il n'empêche pas l'expansion d'entité sur les données reçues. Cela permet à un attaquant de réaliser des attaques par déni de service contre le service en lui envoyant des données XML contrefaites pour l'occasion.

La distribution oldstable (Lenny) ne contient pas jabberd14.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.6.1.1-5+squeeze1.

Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.6.1.1-5.1

Nous vous recommandons de mettre à jour vos paquets jabberd14.