DoS contra los servidores jabber v1.4

A finales de Agosto, Jose Antonio Calvo encontró un fallo en la rama de servidores jabberd14. Se puede provocar la parada de cualquier componente del servidor accesible desde internet (c2s, s2s, …). Y, además, el exploit es de lo más tonto:

echo -e '\xef\xbb\xbf'|netcat ip port

WPJabber, el servidor de JabberEs también era vulnerable. Gracias al rápido parche de Matthias Wimmer, gran parte de los servidores públicos han sido actualizados. En nuestro caso, la solución requirió un poco más de trabajo, puesto que WPJabber diverge mucho en algunos aspectos (el c2s, sobre todo).

Lo curioso del asunto es que la página de la JSF no muestra ningún informe. De la misma manera, tan solo Gentoo ha publicado un informe de seguridad. Ni Debian ni ninguna de las que incluye el paquete en sus repositorios.

• xmpp
• jabberes
• historias