漏洞信息详情
Erlang Solutions MongooseIM 拒绝服务漏洞
- CNNVD编号:CNNVD-201404-149
- 危害等级: 高危
- CVE编号: CVE-2014-2829
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2014-04-15
- 威胁类型: 远程
- 更新时间: 2014-04-15
- 厂 商: erlang-solutions
- 漏洞来源:
漏洞简介
Erlang Solutions MongooseIM是瑞典Erlang Solutions公司的一款基于XMPP的用于创建高性能消息传递服务系统的基础平台。
Erlang Solutions MongooseIM 1.3.1 rev. 2及之前的版本中存在安全漏洞,该漏洞源于程序没有正确限制对压缩的XML元素处理。远程攻击者可借助特制的XMPP流利用该漏洞造成拒绝服务(资源消耗)。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www.erlang-solutions.com/products/mongooseim-massively-scalable-ejabberd-platform
参考网址
来源: github.com
链接:https://github.com/esl/MongooseIM/commit/586d96cc12ef218243a3466354b4d208b5472a6c
来源: xmpp.org
链接:http://xmpp.org/resources/security-notices/uncontrolled-resource-consumption-with-highly-compressed-xmpp-stanzas/
受影响实体
- Erlang-Solutions Mongooseim:1.3.1:Rev2
- Erlang-Solutions Mongooseim:1.3.1:-
- Erlang-Solutions Mongooseim:1.2.1
- Erlang-Solutions Mongooseim:1.2.2
- Erlang-Solutions Mongooseim:1.3.0
补丁
- MongooseIM-1.3.2
- MongooseIM-1.3.2
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论