Fedora 32:prosody(2020-a48bf86c27)
high Nessus プラグイン ID 141392
Language:
概要
リモートのFedoraホストにセキュリティ更新プログラムがありません。説明
Prosody 0.11.7 =============これは、0.11.x安定版(stable)ブランチのセキュリティリリースです。すべてのユーザー、特にデプロイメントで「mod_websocket」を有効にしているユーザーはこのリリースにアップグレードすることが強く推奨されます。
アップグレードだけでなく、すべてのパブリックデプロイメントでは、「c2s_stanza_size_limit」および「s2s_stanza_size_limit」オプションを確認し、適切な値に設定することが推奨されます。値はバイト単位で指定され、XMPP仕様では少なくとも10000バイトの値が必要ですが、10000バイトの制限を設定することも推奨しています。弊社は、将来のリリースに適切な適切なデフォルトを決定するために、実在のスタンザのサイズに関するデータの取得に作業しています。
セキュリティ ========
- mod_websocket:受信したフレームにサイズ制限を強制します(#1593を修正)
修正と改善 ======================
- mod_c2s、mod_s2s:スタンザのサイズ制限を構成できるようにします
- Luaガベージコレクションパラメーターをコントロールする構成オプションを追加します
- net.http:送信HTTPリクエストに対するSNIサポートをバックポートします(#409)
- mod_websocket:クローズフレームと接続のエラーでバッファ内のすべてのデータを処理します( #1474、#1234の修正)
- util.indexedbheap:再スケジュール後にいくつかのタイマーが失敗する、ヒープデータ構造の破損を修正します(#1572の修正)
Prosody 0.11.6 =============
このリリースでは、0.11.5以降の修正や改善のコレクションが追加されますセキュリティ、パフォーマンス、ユーザビリティ、相互運用性を改善するリリース
このバージョンでは、「prosodyctl」を使用してProsodyを起動/停止します。
修正と改善 ======================
- mod_storage_internal:「when」フィールドのないアイテムの時間制限クエリのエラーを修正します #1557
- mod_ Carbon:着信MUC PM #1540の処理を修正します
- mod_csi_simple:XEP-0353を検討してください:ジングルメッセージ開始が重要
- mod_http_files:etagでinodeの使用を回避、#1498の修正:
FreeBSDでファイルをダウンロードできません
- mod_admin_telnet:コンソールセッションごとにDNSリゾルバーを作成します(#1492の修正:TelnetコンソールDNSコマンドにより、有用性が低下しました)
- core.certmanager:デフォルトの暗号文字列でEECDH暗号をEDHの前に移動します(#1513の修正))
- mod_s2s:logginで無効なXMLをエスケープします(mod_c2sと同じ方法)(#1574の修正:s2s接続での無効なXML入力がエスケープされずにログに記録されます)
- mod_muc:server-admins-are-room-owners機能のコントロールを許可します(#1174を参照)
- mod_muc_mam:偽装されたアーカイブIDをアーカイブ前に削除します(#1552の修正:MUC MAMは自身のアーカイブIDを取り去ることがあります)
- mod_muc_mam:スタンザIDフィルターのイベント名を修正、#1546の修正:mod_muc_mamが、偽装したスタンザIDを除去しません
- mod_muc_mam:XEP-0359の欠落したアドバタイズを修正します、#1547の修正: mod_muc_mamがstanza-idをアドバタイズしません
マイナーな変更 =============
- net.http API:「request:cancel()」メソッドを追加します
- net.http API:request()に渡される無効なURLのトレースバックを修正します
- MUC:新しいMUC形式でaffiliation_dataを保持
- mod_websocket:セッション作成時のイベントの起動(Aaron van Meerten氏に感謝の意を表します)
- MUC:常に「affiliation」/「role」属性を含めます。nilの場合はデフォルトで「none」になります
- mod_tls:証明書が(再)ロードされたときにログに記録します
- mod_vcard4:正しいエラー状態を報告します(修正 #1521:
mod_vcard4が間違ったエラーを報告します)
- net.http:「destroy_request()」関数を再公開します(意図しないAPI破損を修正します)
- net.http.server:IPv6にわかりやすい方法でホストヘッダーからポートを削除します( #1302を修正)
- util.prosodyctl:コマンドラインのフラグを介してprosodyにdaemonizeを行うようにします( #1514の修正)
- SASL:必要に応じてsaslprepを適用、#1560の修正: パスワードに特殊文字が含まれる場合、ログインが失敗します
- net.http.server:Hostヘッダーの欠落のレポートを修正します
- util.datamanager API:「users」での繰り返しを修正(marc0sに感謝の意を表します)
- net.resolvers.basic:特定されていない場合に、conn_typeを「tcp」に一貫してデフォルト設定します(marc0sに感謝の意を表します)
- mod_storage_sql:削除制限のチェックを修正します( #1494の修正)
- mod_admin_telnet:使用できない暗号化情報を処理します(#1510の修正:mod_admin_telnetバックトレース)
-「prosodyctl start/stop/restart」を使用する際の警告をログに記録します
- core.certmanager:「fullchain.pem」と一致するように「privkey.pem」を検索します(#1526の修正)
- mod_storage_sql:sort_idをカバーするインデックスを追加し、パフォーマンスを改善します( #1505の修正)
- mod_mam、mod_muc_mam:アーカイブのクリーンアップ中に他の作業を実行できるようにします(#1504の修正)
- mod_muc_mam:MUCタグを除去せず、 #1567を修正します: mod_muc_mamによりストリップされるMUCタグ
- mod_pubsub、mod_pep:子の数が正しいことを確認します(#1496の修正)
- mod_register_ibr:XEP-0077で要求されるFORM_TYPEを追加します(#1511の修正)
- mod_muc_mam:非占有者からのトレースバック保存メッセージを修正します( #1497の修正)
- util.startup:ロギングの重複した初期化を削除します( #1527の修正):スタートアップ:ロギングが2回初期化されました)
注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける prosody パッケージを更新してください。参考資料
https://bodhi.fedoraproject.org/updates/FEDORA-2020-a48bf86c27
プラグインの詳細
深刻度: High
ID: 141392
ファイル名: fedora_2020-a48bf86c27.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: Fedora Local Security Checks
公開日: 2020/10/12
更新日: 2020/10/12
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:prosody, cpe:/o:fedoraproject:fedora:32
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
パッチ公開日: 2020/10/9
脆弱性公開日: 2020/10/9
参照情報
FEDORA: 2020-a48bf86c27