「Openfire」に未対策のDoS脆弱性

ブロードバンドセキュリティ

注目記事

2014.4.18（金）8:00

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は4月17日、Openfire Projectが提供する「Openfire」にDoSの脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。現時点で対策が行われているのは開発版のみで、通常版の対策は公開されていない。

「Openfire 3.9.1 およびそれ以前」には、圧縮済 XML 要素の処理を適切に制限していないことが原因でDoSの脆弱性（CVE-2014-0360）が存在する。この脆弱性が悪用されると、細工された XMPP ストリームを処理することで、リソース枯渇攻撃を受ける可能性がある。JVNでは、XMPP圧縮を無効に設定することで本脆弱性の影響を軽減できるとしている。

「Openfire」に未対策のDoS脆弱性（JVN）

《吉澤亨史@ScanNetSecurity》