DebianDLA-1716-1: ikiwikiのセキュリティ更新プログラム

high Nessus プラグイン ID 122928

Language:

概要

リモートのDebianホストにセキュリティ更新プログラムがありません。

説明

ikiwikiの保守管理者は、集合プラグインがLWPx::ParanoidAgent を使用していないことを発見しました。集合プラグインが有効になっているサイトでは、LWPx::ParanoidAgentがインストールされている場合でも、許可されたWiki

エディタが、ikiwikiにfile:URIを介して望ましくないURI、ローカルファイル、ループバックIPアドレス（127.x.x.x）を解決するホストやRFC 1918 IPアドレスを解決するホスト（192.168.x.x など）であるgopherなど、攻撃者が悪用する可能性のある他のURIスキームをフェッチするよう伝える可能性があります。

攻撃者がこれを利用して、アクセスできないはずの情報を公開したり、応答が遅い「tarpit」URIをリクエストすることでサービス拒否を引き起こしたり、ローカルWebサーバーが「安全性の確認されていない」GETリクエストを実装した場合に望ましくない副作用を引き起こしたりする可能性があります。
（CVE-2019-9187）

さらに、liblwpx-paranoidagent-perlがインストールされていない場合、blogspam、openid、pingerのプラグインがLWPにフォールバックし、同様の攻撃を受けやすくなります。blogspamプラグインがリクエストするURLは、wiki管理者の管理下にあるため、これが現実的な問題になる可能性は低いですが、openidプラグインは認証されていないリモートユーザーが制御するURLをリクエストでき、pingerプラグインは許可されたwikiエディタが制御するURLをリクエストできます。

この問題は、ikiwikiで次のように対処されています3.20190228。バージョン3.20170111.1では、Debian 9に同じ修正がバックポートされています

- http:およびhttps:以外のURIスキームが受け入れられず、gopherなどのファイルにアクセスできない。

- プロキシがikiwiki設定ファイルで構成されていると、すべてのhttp:およびhttps: 送信リクエストに使用されます。この場合、プロキシはループバックやRFC 1918のアドレスを含む、望ましくないリクエストをブロックする役割を果たします。

- プロキシが構成されておらず、liblwpx-paranoidagent-perlがインストールされている場合に使用されます。これにより、ループバックとRFC 1918のIPアドレスが回避され、「tarpit」URIを介したサービス拒否を回避するためにタイムアウトが設定されます。

- それ以外の場合は、通常のLWP user-agentが使用されます。
これにより、リクエストにループバックとRFC 1918のIPアドレスが許可され、タイムアウト動作が安定しなくなります。弊社では、これを脆弱性として扱いません: この動作がお使いのサイトで受け入れられない場合は、必ずLWPx::ParanoidAgentをインストールするか影響を受けるプラグインを無効にしてください。

Debian 8「Jessie」では、この問題はバージョン3.20141016.4+deb8u1で修正されました。

お使いのikiwikiパッケージをアップグレードすることを推奨します。さらに、ikiwikiの推奨フィールドの一覧にあるliblwpx-paranoidagent-perlをインストールすることも推奨されます。

注: Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。