Рекомендация Debian по безопасности

DSA-2249-1 jabberd14 -- отказ в обслуживании

Дата сообщения:
31.03.2011
Затронутые пакеты:
jabberd14
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-1754.
Более подробная информация:

Вутер Кокертс обнаружил, что jabberd14, сервер для мгновенного обмена сообщениями по протоколу Jabber/XMPP, уязвим к так называемой атаке миллиарда смайлов, поскольку он не предотвращает раскрытие сущностей в получаемых данных. Это позволяет злоумышленнику вызывать отказ в обслуживании путём отправки на сервер специально сформированных данных в формате XML.

В предыдущем стабильном выпуске (lenny) пакет jabberd14 отсутствует.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.6.1.1-5+squeeze1.

В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.6.1.1-5.1

Рекомендуется обновить пакеты jabberd14.