Vulnerabilidad en expat_erl.c en ejabberd (CVE-2011-1753)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-399
Error en la gestión de recursos
Fecha de publicación:
21/06/2011
Última modificación:
11/04/2025
Descripción
expat_erl.c en ejabberd v2.1.7 y v3.x antes de v3.0.0-alpha-3, y exmpp antes de v0.9.7, no detecta correctamente la recursividad durante la expansión de la entidad, lo que permite a atacantes remotos provocar una denegación de servicio ( la memoria y el consumo de CPU ) a través de un documento XML manipulado que contiene un gran número de referencias a entidades anidadas, un problema similar a CVE-2003-1564.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:process-one:ejabberd:*:*:*:*:*:*:*:* | 2.1.6 (incluyendo) | |
| cpe:2.3:a:process-one:ejabberd:0.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:process-one:ejabberd:0.9.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:process-one:ejabberd:0.9.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:process-one:ejabberd:1.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:process-one:ejabberd:1.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:process-one:ejabberd:1.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:process-one:ejabberd:1.1.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:process-one:ejabberd:1.1.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:process-one:ejabberd:1.1.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:process-one:ejabberd:1.1.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:process-one:ejabberd:1.1.14:*:*:*:*:*:*:* | ||
| cpe:2.3:a:process-one:ejabberd:2.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:process-one:ejabberd:2.0.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:process-one:ejabberd:2.0.0:rc1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.fedoraproject.org/pipermail/package-announce/2011-June/062099.html
- http://lists.fedoraproject.org/pipermail/package-announce/2011-June/062145.html
- http://secunia.com/advisories/44765
- http://secunia.com/advisories/44807
- http://secunia.com/advisories/45120
- http://www.debian.org/security/2011/dsa-2248
- http://www.ejabberd.im/ejabberd-2.1.7
- http://www.process-one.net/en/ejabberd/release_notes/release_note_ejabberd_2.1.7/
- http://www.securityfocus.com/bid/48072
- https://bugzilla.redhat.com/show_bug.cgi?id=700454
- https://exchange.xforce.ibmcloud.com/vulnerabilities/67769
- https://git.process-one.net/ejabberd/mainline/commit/bd1df027c622e1f96f9eeaac612a6a956c1ff0b6
- http://lists.fedoraproject.org/pipermail/package-announce/2011-June/062099.html
- http://lists.fedoraproject.org/pipermail/package-announce/2011-June/062145.html
- http://secunia.com/advisories/44765
- http://secunia.com/advisories/44807
- http://secunia.com/advisories/45120
- http://www.debian.org/security/2011/dsa-2248
- http://www.ejabberd.im/ejabberd-2.1.7
- http://www.process-one.net/en/ejabberd/release_notes/release_note_ejabberd_2.1.7/
- http://www.securityfocus.com/bid/48072
- https://bugzilla.redhat.com/show_bug.cgi?id=700454
- https://exchange.xforce.ibmcloud.com/vulnerabilities/67769
- https://git.process-one.net/ejabberd/mainline/commit/bd1df027c622e1f96f9eeaac612a6a956c1ff0b6