Ejabberd XMPP服务器通过畸形XML节导致拒绝服务漏洞分析

本文详细分析了CVE-2011-4320漏洞,该漏洞影响Ejabberd XMPP服务器的mod_pubsub模块。远程认证用户可通过发送缺乏node属性的publish标签的畸形XML节,导致服务器陷入无限循环,从而引发拒绝服务攻击。文中包含了受影响的版本范围、修复版本及官方参考链接。

CVE-2011-4320:Ejabberd DoS via malformed stanza

漏洞概述

CVE-2011-4320 是一个存在于Ejabberd XMPP服务器中的中度严重性漏洞。该漏洞允许远程已认证用户通过发送一个格式错误的XML节(stanza)导致服务器发生拒绝服务(Denial of Service,DoS)攻击。

受影响组件

漏洞位于 mod_pubsub 模块(具体文件为 mod_pubsub.erl)中。

受影响版本

  • ejabberd <= 2.1.8
  • ejabberd >= 3.0.0-alpha-1, <= 3.0.0-alpha-3

修复版本

  • ejabberd 2.1.9
  • ejabberd 3.0.0-alpha-4

漏洞详情

攻击者可以通过向服务器发送一个包含 publish 标签但缺少 node 属性的XML节来触发此漏洞。存在缺陷的 mod_pubsub 模块在处理此类畸形节时,会陷入无限循环,从而导致Ejabberd服务器消耗大量资源并停止响应合法请求,实现拒绝服务攻击。

技术影响

此漏洞属于 CWE-400: Uncontrolled Resource Consumption(不受控制的资源消耗) 弱点类别。成功利用可导致目标Ejabberd服务器完全不可用。

参考链接

元数据

  • GitHub Advisory ID: GHSA-2h3q-v47h-f4rc
  • NVD发布时间: 2012年2月18日
  • GitHub Advisory Database发布时间: 2022年5月17日
  • 最后更新: 2024年1月19日
  • EPSS评分: 1.178%(第78百分位数)
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次