製品・ソフトウェアに関する情報

JVN脆弱性詳細

Citadel の modules/xmpp/serv_xmpp.c におけるサービス運用妨害 (DoS) の脆弱性

Title	Citadel の modules/xmpp/serv_xmpp.c におけるサービス運用妨害 (DoS) の脆弱性
Summary	Citadel の modules/xmpp/serv_xmpp.c には、エンティティ拡張の間に再帰を適切に検出しないため、サービス運用妨害 (メモリおよびCPU消費) 状態となる脆弱性が存在します。本脆弱性は、CVE-2003-1564 と類似する脆弱性です。
Possible impacts	第三者により、入れ子になった多数のエンティティ参照を含む巧妙に細工された XML 文書を介して、サービス運用妨害 (メモリおよびCPU消費) 状態にされる可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	June 20, 2011, midnight
Registration Date	March 27, 2012, 6:43 p.m.
Last Update	March 27, 2012, 6:43 p.m.

Affected System

citadel

citadel 7.86 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-1756	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1756
National Vulnerability Database (NVD)
2	CVE-2011-1756	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1756

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	Name	URL
citadel
1	Top Page	http://www.citadel.org/

Change Log

No	Changed Details	Date of change
0	[2012年03月27日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2011-1756

Summary	modules/xmpp/serv_xmpp.c in Citadel 7.86 and earlier does not properly detect recursion during entity expansion, which allows remote attackers to cause a denial of service (memory and CPU consumption) via a crafted XML document containing a large number of nested entity references, a similar issue to CVE-2003-1564.
Publication Date	June 21, 2011, 11:52 a.m.
Registration Date	Jan. 28, 2021, 4:38 p.m.
Last Update	Nov. 21, 2024, 10:26 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://code.citadel.org/cgit.cgi/git.citadel.org/commit/?id=27c991cc2059f5530d3d4e9689dc976b745f5b0c	Patch
2	http://code.citadel.org/cgit.cgi/git.citadel.org/commit/?id=95040add546a705cc2d1d8f16293141f9f9845a6	Patch
3	http://packages.debian.org/changelogs/pool/main/c/citadel/citadel_7.37-8+lenny1/changelog
4	http://packages.debian.org/changelogs/pool/main/c/citadel/citadel_7.83-2squeeze2/changelog
5	http://secunia.com/advisories/44788	Vendor Advisory
6	http://security.debian.org/debian-security/pool/updates/main/c/citadel/citadel_7.83-2squeeze2.diff.gz	Patch
7	http://www.debian.org/security/2011/dsa-2250
8	http://www.securityfocus.com/bid/48071
9	http://code.citadel.org/cgit.cgi/git.citadel.org/commit/?id=27c991cc2059f5530d3d4e9689dc976b745f5b0c	Patch
10	http://www.securityfocus.com/bid/48071
11	http://www.debian.org/security/2011/dsa-2250
12	http://security.debian.org/debian-security/pool/updates/main/c/citadel/citadel_7.83-2squeeze2.diff.gz	Patch
13	http://secunia.com/advisories/44788	Vendor Advisory
14	http://packages.debian.org/changelogs/pool/main/c/citadel/citadel_7.83-2squeeze2/changelog
15	http://packages.debian.org/changelogs/pool/main/c/citadel/citadel_7.37-8+lenny1/changelog
16	http://code.citadel.org/cgit.cgi/git.citadel.org/commit/?id=95040add546a705cc2d1d8f16293141f9f9845a6	Patch

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-399	リソース管理の問題	https://cwe.mitre.org/data/definitions/399.html