vul

公式でstableとして公開されている1.2.2のサーバソフトウェアにはDos攻撃に対する脆弱性が存在します。

サーバ管理者の方への説明のためのページです。

脆弱性の詳細

脆弱性を指摘した研究者のホームページに脆弱性の詳細とCoP（概念実証コード）が公開されています。

http://aluigi.altervista.org/adv/mumbleed-adv.txt

この脆弱性を悪用するとサーバにログインできるユーザであれば誰でもMumbleサーバをクラッシュさせることが出来ます。

逆に言うとログイン出来ないユーザがこの攻撃を行うことは出来ません。

ただ、いわゆる概念実証コードが存在し誰でも簡単に攻撃できる状態になっています。

脆弱性の修正が行われたバージョン

この脆弱性に対する修正が行われたMurmurはWindows用であれば

http://mumble.info/snapshot/mumble-2010-07-10-2324-10cd5c.exe

Linux用であれば

http://mumble.info/snapshot/murmur-static_x86-c4eefe.tar.lzma

として公開されています。

もし、Debianのリポジトリ、もしくはUbuntuのLauchpadリポジトリからインストールされた場合には修正済みとなっています。

http://packages.debian.org/changelogs/pool/main/m/mumble/mumble_1.2.2-5/changelog

公式ページにて安定版（Stable）として公開されているバージョンでは修正されていませんのでご注意下さい。

修正パッチ

git リポジトリの

• 6b33dda344f89e5a039b7d79eb43925040654242
• 5c40cfeb4b5f8911df926c19f2dd628703840f64

がこの脆弱性に対する修正です。