- 2011-01-05 (水) 6:07
公式でstableとして公開されている1.2.2のサーバソフトウェアにはDos攻撃に対する脆弱性が存在します。
サーバ管理者の方への説明のためのページです。
脆弱性の詳細
脆弱性を指摘した研究者のホームページに脆弱性の詳細とCoP(概念実証コード)が公開されています。
http://aluigi.altervista.org/adv/mumbleed-adv.txt
この脆弱性を悪用するとサーバにログインできるユーザであれば誰でもMumbleサーバをクラッシュさせることが出来ます。
逆に言うとログイン出来ないユーザがこの攻撃を行うことは出来ません。
ただ、いわゆる概念実証コードが存在し誰でも簡単に攻撃できる状態になっています。
脆弱性の修正が行われたバージョン
この脆弱性に対する修正が行われたMurmurはWindows用であれば
http://mumble.info/snapshot/mumble-2010-07-10-2324-10cd5c.exe
Linux用であれば
http://mumble.info/snapshot/murmur-static_x86-c4eefe.tar.lzma
として公開されています。
もし、Debianのリポジトリ、もしくはUbuntuのLauchpadリポジトリからインストールされた場合には修正済みとなっています。
http://packages.debian.org/changelogs/pool/main/m/mumble/mumble_1.2.2-5/changelog
公式ページにて安定版(Stable)として公開されているバージョンでは修正されていませんのでご注意下さい。
修正パッチ
git リポジトリの
がこの脆弱性に対する修正です。