漏洞概述
CVE-2011-4320 是一个在 ejabberd(一个用 Erlang 编写的开源 XMPP 即时通讯服务器)的 mod_pubsub 模块中发现的拒绝服务漏洞。
受影响版本
- ejabberd 2.1.8 及更早版本。
- ejabberd 3.0.0-alpha-1 至 3.0.0-alpha-3 版本。
漏洞详情
位于 mod_pubsub.erl 中的 mod_pubsub 模块存在缺陷。远程经过身份验证的攻击者能够通过发送一个带有 publish 标签但缺少 node 属性的 XML 报文来利用此漏洞。服务器在处理此类畸形报文时,会陷入无限循环,从而导致拒绝服务,耗尽系统资源。
修复版本
此漏洞已在以下版本中得到修复:
- ejabberd 2.1.9
- ejabberd 3.0.0-alpha-4
参考资料
- NVD 漏洞详情
- ProcessOne 问题跟踪
- OSS 安全邮件列表讨论
- OSS 安全邮件列表讨论
- ejabberd 2.1.9 发布说明
- 修复提交:processone/ejabberd@d3c4eab
- 修复提交:processone/ejabberd@d5b4d67
漏洞信息
- 严重等级: Moderate (中等)
- EPSS 评分: 1.178% (第78百分位数)
- 弱点枚举: CWE-400 - 不受控制的资源消耗。该产品未能正确控制有限资源的分配和维护,使得攻击者能够影响资源消耗量,最终导致可用资源耗尽。
- CVE ID: CVE-2011-4320
- GHSA ID: GHSA-2h3q-v47h-f4rc
- 源代码仓库: processone/ejabberd
注意: 针对此安全公告的 Dependabot 警报可能在部分或全部相关生态系统中不受支持。