検出

openSUSEセキュリティ更新プログラム: prosody(openSUSE-2021-728)

high Nessus プラグイン ID 149566

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このprosodyの更新では、次の問題が修正されます:

prosody が 0.11.9 に更新されました :

セキュリティ:

 - mod_limits、prosody.cfg.lua: デフォルトでレート制限を有効化

 - certmanager: デフォルトで再ネゴシエーションを無効にします

 - mod_proxy65: デフォルトでローカル c2s 接続へのアクセスを制限します

 - util.startup: GC に対してより積極的なデフォルトを設定します

 - mod_c2s、mod_s2s、mod_component、mod_bosh、mod_websockets: デフォルトのスタンザサイズ制限を設定します

 - mod_authinternal(plain,hashed): シークレットに定数時間の文字列比較を使用します

 - mod_dialback: dialback-without-dialback 機能を削除します

 - mod_dialback: hmac との一定時間比較を使用します

Minor changes :

 - util.hashes: 一定時間の文字列比較を追加します (CRYPTO_memcmp へのバインド)

 - mod_c2s: 接続がなくなったときに非同期コードでエラーをスローしません

 - mod_c2s: conn が nil の場合のセッション終了時のトレースバックを修正します

 - core.certmanager: LuaSec / OpenSSL 機能の検出を改善します

 - mod_saslauth: 定義された SASL エラーを使用します

 - MUC: ルーム disco#info で muc#roomconfig_allowinvites をアドバタイズするためのサポートを追加します

 - mod_saslauth: 接続がなくなったときに非同期コードでエラーをスローしません

 - mod_pep: ベース PubSub 機能をアドバタイズします (修正 #1632:
 mod_pep に disco の pubsub 機能がありません)

 - prosodyctl check config: グローバルオプションのリストに「gc」を追加します

 - prosodyctl about: 既知の場合、libexpat のバージョンを報告します

 - util.xmppstream: API を追加して、ストリームのスタンザサイズ制限を動的に構成します

 - util.set: is_set() を追加して、オブジェクトがセットであるかどうかをテストします

 - mod_http: プロキシされていないケースで IP 解決をスキップします

 - mod_c2s: 非同期状態の変更で欠落している conn に関するログ

 - util.xmppstream: 内部のデフォルトの xmppstream 制限を 1MB に削減します

関連: https://prosody.im/security/advisory_20210512

 - boo#1186027: Prosody XMPP サーバーアドバイザリ 2021 年 5 月 12 日

 - CVE-2021-32919

 - CVE-2021-32917

 - CVE-2021-32917

 - CVE-2021-32920

 - CVE-2021-32918

0.11.8への更新 :

セキュリティ:

 - mod_saslauth: TLSでの「tls-unique」チャネルバインディングを無効化 1.3 (#1542)

修正と改善:

 - net.websocket.frames: 新しいutil.strbitopを使用して、websocketマスクパフォーマンスを改善します

 - util.strbitop: 文字列での効率的なビット単位の操作のためのライブラリ

Minor changes :

 - MUC: 件名を変更できるかどうかを正しくアドバタイズします(#1155)

 - MUC: 応答のディスコ「ノード」属性(またはその欠如)を保持します(#1595)

 - MUC: 不必要な存在は送信させるロジックバグを修正します(#1615)

 - mod_bosh: クライアントがコンポーネントに接続しようとする場合のエラーを修正します(#425)

 - mod_bosh: チェックする前に「wait」を早期に選択します

 - mod_pep: AdpubiseベースPubSub機能(#1632)

 - mod_pubsub: 通知スタンザタイプの設定を修正します(#1605)

 - mod_s2s: クライアントがストリームを確立する前にキープアライブを防止

 - net.adns: 空のDNSパケットを送信するバグを修正します(#1619)

 - net.http.server: 1xx/204応答でContent-Lengthを送信しない(#1596)

 - net.websocket.frames: フィックス長算出バグを修正します(#1598)

 - util.dbuffer: 長さAPIをLua文字列に一致させます

 - util.dbuffer: 部分文字列操作を最適化します

 - util.debug: 場合によっては間違ったスタックフレームで報告されているローカルを修正します

 - util.dependencies: Luaのビット演算ライブラリの修正チェック(#1594)

 - util.interpolation: フィルターとフォールバックの値#1623の組み合わせを修正します

 - util.promis: トレースバックを保存します

 - util.stanza: ASCII制御文字を拒否します(#1606)

 - timers: タイマーが他の処理をブロックできないようにする(#1620)

0.11.7への更新:

セキュリティ:

 - mod_websocket: 受信したフレームにサイズ制限を強制します(#1593を修正)

修正と改善:

 - mod_c2s、mod_s2s: スタンザのサイズ制限を構成できるようにします

 - Luaガベージコレクションパラメーターをコントロールする構成オプションを追加します

 - net.http: 送信HTTPリクエストに対するSNIサポートをバックポートします(#409)

 - mod_websocket: クローズフレームと接続のエラーでバッファ内のすべてのデータを処理します( #1474、#1234の修正)

 - util.indexedbheap: 再スケジュール後にいくつかのタイマーが失敗する、ヒープデータ構造の破損を修正します(#1572の修正)

0.11.6への更新 :

修正と改善:

 - mod_storage_internal: 「when」フィールドのないアイテムの時間制限クエリのエラーを修正します #1557

 - mod_ Carbon: 着信MUC PM #1540の処理を修正します

 - mod_csi_simple: XEP-0353を検討してください: ジングルメッセージ開始が重要

 - mod_http_files: etagでinodeの使用を回避、#1498の修正:
 FreeBSDでファイルをダウンロードできません

 - mod_admin_telnet: コンソールセッションごとにDNSリゾルバーを作成します(#1492の修正: TelnetコンソールDNSコマンドにより、有用性が低下しました)

 - core.certmanager: デフォルトの暗号文字列でEECDH暗号をEDHの前に移動します(#1513の修正))

 - mod_s2s: logginで無効なXMLをエスケープします(mod_c2sと同じ方法)(#1574の修正: s2s接続での無効なXML入力がエスケープされずにログに記録されます)

 - mod_muc:server-admins-are-room-owners機能のコントロールを許可します(#1174を参照)

 - mod_muc_mam: 偽装されたアーカイブIDをアーカイブ前に削除します(#1552の修正: MUC MAMは自身のアーカイブIDを取り去ることがあります)

 - mod_muc_mam: スタンザIDフィルターのイベント名を修正、#1546の修正: mod_muc_mamが、偽装したスタンザIDを除去しません

 - mod_muc_mam: XEP-0359の欠落したアドバタイズを修正します、#1547の修正: mod_muc_mamがstanza-idをアドバタイズしません

Minor changes :

 - net.http API: request: cancel() メソッドを追加します

 - net.http API: request()に渡される無効なURLのトレースバックを修正します

 - MUC: 新しいMUC形式でaffiliation_dataを保持

 - mod_websocket: セッション作成時のイベントの起動(Aaron van Meerten氏に感謝の意を表します)

 - MUC: 常に「affiliation」/「role」属性を含めます。nilの場合はデフォルトで「none」になります

 - mod_tls: 証明書が(再)ロードされたときにログに記録します

 - mod_vcard4: 正しいエラー状態を報告します(修正 #1521:
 mod_vcard4が間違ったエラーを報告します)

 - net.http: destroy_request() 関数を再公開します (意図しない API 破損を修正します)

 - net.http.server: IPv6にわかりやすい方法でホストヘッダーからポートを削除します( #1302を修正)

 - util.prosodyctl: コマンドラインのフラグを介してprosodyにdaemonizeを行うようにします( #1514の修正)

 - SASL: 必要に応じてsaslprepを適用、#1560の修正: パスワードに特殊文字が含まれる場合、ログインが失敗します

 - net.http.server: Hostヘッダーの欠落のレポートを修正します

 - util.datamanager API: 「users」での繰り返しを修正(marc0sに感謝の意を表します)

 - net.resolvers.basic: 特定されていない場合に、conn_typeを「tcp」に一貫してデフォルト設定します(marc0sに感謝の意を表します)

 - mod_storage_sql: 削除制限のチェックを修正します( #1494)

 - mod_admin_telnet: 使用できない暗号化情報を処理します(#1510の修正: mod_admin_telnetバックトレース)

 - prosodyctl start/stop/restart を使用する際の警告をログに記録します

 - core.certmanager: fullchain.pem と一致するように privkey.pem を検索します (#1526 の修正)

 - mod_storage_sql: sort_idをカバーするインデックスを追加し、パフォーマンスを改善します( #1505の修正)

 - mod_mam、mod_muc_mam: アーカイブのクリーンアップ中に他の作業を実行できるようにします(#1504の修正)

 - mod_muc_mam: MUCタグを除去せず、 #1567: mod_muc_mamによりストリップされるMUCタグ

 - mod_pubsub、mod_pep: 子の数が正しいことを確認します(#1496の修正)

 - mod_register_ibr: XEP-0077で要求されるFORM_TYPEを追加します(#1511の修正)

 - mod_muc_mam: 非占有者からのトレースバック保存メッセージを修正します( #1497の修正)

 - util.startup: ロギングの重複した初期化を削除します( #1527の修正): スタートアップ: ロギングが2回初期化されました)

ソリューション

影響を受けるprosodyパッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1186027

https://prosody.im/security/advisory_20210512

プラグインの詳細

深刻度: High

ID: 149566

ファイル名: openSUSE-2021-728.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2021/5/18

更新日: 2021/5/25

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2021-32919

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:prosody, p-cpe:/a:novell:opensuse:prosody-debuginfo, p-cpe:/a:novell:opensuse:prosody-debugsource, cpe:/o:novell:opensuse:15.2

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/5/14

脆弱性公開日: 2021/5/13

参照情報

CVE: CVE-2021-32917, CVE-2021-32918, CVE-2021-32919, CVE-2021-32920