Säkerhetsbulletin från Debian
DSA-2249-1 jabberd14 -- överbelastning
- Rapporterat den:
- 2011-03-31
- Berörda paket:
- jabberd14
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2011-1754.
- Ytterligare information:
-
Wouter Coekaerts upptäckte att jabberd14, en server för snabbmeddelanden som använder Jabber/XMPP-protokollet är sårbar för det så kallade
billion laughs
-angreppet eftersom det inte förhindrar entity expansion på mottagen data. Detta tillåter en angripare att utföra överbelastningsangrepp mot tjänsten genom att skicka speciellt skapad XML-data till den.Den gamla stabila utgåvan (Lenny), innehåller inte jabberd14.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.6.1.1-5+squeeze1.
För uttestningsutgåvan (Wheezy) kommer detta problem att rättas inom kort
För den instabila distributionen (Sid) har detta problem rättats i version 1.6.1.1-5.1
Vi rekommenderar att ni uppgraderar era jabberd14-paket.