Openfire < 3.5.0 ConnectionManagerImpl.javaキュー処理のリモートDoS

high Nessus プラグイン ID 31855

概要

リモートホストに、DoS攻撃(サービス拒否攻撃)を受けやすいアプリケーションがあります。

説明

リモートホストは、XMPPプロトコルをサポートするインスタントメッセージングサーバーであるOpenfire/Wildfireを実行しています。

そのバージョンによると、リモートホストにインストールされているOpenfireまたはWildfireは、サービス拒否の脆弱性の影響を受けます。これは、クライアントセッションの送信バッファに制限がなく、メッセージの読み取りに失敗したクライアントを処理できないため、サーバーをダウンさせる可能性があります。

ソリューション

Openfireバージョン3.5.0以降にアップグレードしてください。

関連情報

http://www.igniterealtime.org/issues/browse/JM-1289

https://www.openwall.com/lists/oss-security/2008/04/10/7

プラグインの詳細

深刻度: High

ID: 31855

ファイル名: openfire_3_5_0.nasl

バージョン: 1.18

タイプ: remote

ファミリー: Denial of Service

公開日: 2008/4/11

更新日: 2018/11/15

構成: パラノイドモードの有効化

リスク情報

VPR

リスクファクター: Low

スコア: 3.4

CVSS v2

リスクファクター: High

Base Score: 7.8

Temporal Score: 5.8

ベクトル: AV:N/AC:L/Au:N/C:N/I:N/A:C

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:igniterealtime:openfire

必要な KB アイテム: Settings/ParanoidReport

エクスプロイトの容易さ: No known exploits are available

参照情報

CVE: CVE-2008-1728

BID: 28722

Secunia: 29751

CWE: 399