Finanzierung von Jabber-Server.de

Jabber-Server / XMPP-Server

Account

 

Features

 

 

 
XMPP-News

[!] XMPP Server Dialback

Veröffentlicht am 29th August, 2012 von Jabber-Server.de Admin

Schwachstelle im XMPP Server Dialback Protokoll entdeckt!

Am 21.08.2012 meldete die XMPP Standards Foundation eine Schwachstelle im XMPP Server Dialback Protokoll (RFC 3920 / XEP-0220), wonach bei der Ausführung des Protokolls einige Server nicht überprüften, ob das Ergebnis mit der Anfrage übereinstimmt.

Wofür ist das Server Dialback Protokoll (XEP-0220) zuständig?

This specification defines the Server Dialback protocol, which is used between XMPP servers to provide identity verification. Server Dialback uses the Domain Name System (DNS) as the basis for verifying identity; the basic approach is that when a receiving server accepts a server-to-server connection from an initiating server, it does not process traffic over the connection until it has verified the initiating server’s key with an authoritative server for the domain asserted by the initiating server.

Dieser Fehler im Validierungs-Prozess bietet eine potenzielle Angriffsfläche und sollte von betroffenen Server-Administratoren umgehend geschlossen werden. (Upgrade to corrected server code.)

An attacking server could spoof one or more domains in communicating with a vulnerable server implementation, thereby avoiding the protections built into the Server Dialback protocol.

Eine Liste mit betroffenden Servern lässt sich hier unter “Vendor Information” finden.

Jabber-Server.de nicht betroffen!

Jabber-Server.de setzt als XMPP-Server “Openfire” ein. Stehts in der aktuellsten Version und ist somit nicht von der Anfälligkeit im Server Dialback Protokoll betroffen.

Neben einigen Servern, deren Anfälligkeit gegenüber der Schwachstelle unbekannt ist, wurde lediglich Apples iChat Server als anfällig identifiziert.

QUELLEN
[1] Vulnerability in XMPP Server Dialback Implementations
[2] XEP-0220: Server Dialback





0 Kommentare zu „[!] XMPP Server Dialback



Weitere interessante Beiträge für Dich:



Avatar Author Rene

Rene Dhemant

Rene ist technischer Leiter von Jabber-Server.de und Autor des News-Blogs.



 

Spark RTC Client Ignite Realtime Openfire RTC Server

Member of W3C Sites dot com donate-to-jabber-server.png, 663B XING