Информация по безопасности / 2011 / Информация о безопасности -- DSA-2250-1 citadel

Рекомендация Debian по безопасности

DSA-2250-1 citadel -- отказ в обслуживании

Дата сообщения:

31.03.2011

Затронутые пакеты:

citadel

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-1756.

Более подробная информация:

Ваутер Кёкэртс обнаружил, что серверный компонент поддержки Jabber для Citadel, полнофункционального сервера для совместной работы, уязвим к так называемой атаке миллиарда смешков из-за того, что не запрещается выполнение раскрытия сущности из полученных данных. Это позволяет злоумышленнику вызывать отказ в обслуживании путём отправки на сервер специально сформированных данных в формате XML.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 7.37-8+lenny1.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 7.83-2squeeze2.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема будет исправлена позже.

Рекомендуется обновить пакеты citadel.