Fedora 38 : unrealircd (2023-239f057b33)
high Nessus プラグイン ID 187047
Language:
概要
リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。説明
リモートの Fedora 38 ホストには、FEDORA-2023-239f057b33 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。- # UnrealIRCd 6.1.3 このリリースの主な焦点は、大規模なスパムやドローンへの対策を追加することです。Upstream は、Central Blocklist、Central Spamreport、Central Spamfilter へのアクセスに使用できる中央 API を提供することでこれを実現しています。## 機能強化 * セントラルアンチスパムサービス:
* 以下のサービスには、central-api キーが必要です。これは [こちらからリクエスト] (https://www.unrealircd.org/central-api/) できます。* [Central Blocklist] (https://www.unrealircd.org/docs/Central_Blocklist) は、スパマーを検出してブロックする試みです。
これは DNS ブラックリストと同様に機能しますが、セントラルブロックリストは、接続を試みているユーザーに関するより多くの詳細を受け取るため、ユーザーがスパマーである可能性が高いかどうかについて、より適切な判断を下すことができます。
* [Central Spamreport] (https://www.unrealircd.org/docs/Central_spamreport) では、「SPAMREPORT」コマンドを使用してスパムレポート (ユーザーの詳細、最終送信行) を送信できます。この情報は、[Central Blocklist] (https://www.unrealircd.org/docs/Central_Blocklist) や [Central Spamfilter] (https://www.unrealircd.org/docs/Central_Spamfilter) を改善するために使用される可能性があります。* 集中管理される「spamfilter { }」ブロックを提供する [Central Spamfilter] (https://www.unrealircd.org/docs/Central_Spamfilter) は、中央 API キーを設定している場合に、別の URL からフェッチされるようになりました。これにより、Upstream はセントラルブロックリストスコアリング機能に基づいて構築された「spamfilter {}」ブロックを提供できるようになり、セントラルスパムフィルタブロックのすべてを全世界に公開する必要がなくなります。
* 新しいオプションとして [set: : [hide-ban-reason] (https://www.unrealircd.org/docs/Set_block#set::hide-ban-reason) 「自動」がデフォルトになりました。これにより、\*LINE の理由にユーザーの IP が含まれている場合 (たとえば「lookup?ip=XXX」を持つ DroneBL URL が含まれている場合)、\*LINE の理由を他のユーザーに対して非表示にします。これは、ユーザーのプライバシーを保護するためのものです。その他、可能な設定としては、「いいえ」(非表示にしない、以前のデフォルト設定) や、「はい」で常に \*LINE の理由を非表示にすることができます。いずれの場合でも、サーバー拒否の影響を受けるユーザーは、理由と IRCOps を表示できます。* [Deny channel] (https://www.unrealircd.org/docs/Deny_channel_block) では「channel #xyz\*;」のようなエスケープされたシーケンスもサポートするようになります。これにより、リテラルの「*」や「?」を「\*」や「\?」を使用して一致させることができます。* 新しいオプションとして [listen: : options: : websocket: : allow-origin] (https://www.unrealircd.org/docs/Listen_block#options_block_(optional)):) を選択でき、これにより、ウェブソケット接続をウェブサイトのリスト (ウェブソケット接続を確立する HTML/JS ページをホストしているサイト) に制限できます。ブラウザ以外はこの制限をバイパスするため、「安全に」制限されるわけではありませんが、通常のウェブチャットユーザーを制限することは可能です。* [Proxy block] (https://www.unrealircd.org/docs/Proxy_block) では、すでに「Forwarded」ヘッダーによるリバースプロキシをサポートしています。現在は、「X-Forwarded-For」も適切にサポートするようになりました。以前、タイプ「web」のプロキシブロックを使用していた場合には、新しいタイプのいずれかを明示的に選択する必要があります。注意: IRC トラフィックにリバースプロキシを使用することはまれですが (詳細についてはプロキシブロックのドキュメントを参照してください)、Upstream ではこのオプションを提供しています。## 変更 * 内部使用のために、より多くのファイル記述子を確保しています。たとえば、10,000 のファイル記述子が利用可能な場合、Upstream は 250 を確保し、2048 が利用可能な場合、Upstream は 32 を確保します。これにより、Upstream はログファイルなどの処理、ブラックリストに対する HTTPS コールバックの実行などに利用できるファイル記述子を増やすことができます。* ログ中の「$client.details」が、ハンドシェイクにいるユーザーの ident ルールに従うようにしました。そのため ident 検索が有効で identd が失敗する場合には「~」接頭辞を使用します。* operclass 名に対する検証 (「a-zA-Z0-9_-」) を強化しました
* central-blocklist のヒットは、同じサーバーに留まらず、グローバルにブロードキャストされるようになりました。## 修正
* [Proxy block] (https://www.unrealircd.org/docs/Proxy_block) で信頼できるリバースプロキシを使用する場合、状況によっては、エンドユーザーが IP を偽装することが可能でした。* モジュールがリロード (アンロードではなく) され、そのモジュールが特定の moddata オブジェクトを提供しなくなった (名前の変更や不要になった場合など) ときにクラッシュが生じる問題が修正されました。これはまれなことですが、最近、あるサードパーティのモジュールで発生しました。* モジュールを完全にアンロードし、そのモジュールが未知のユーザー (ハンドシェイク中のユーザー) に ModData オブジェクトを提供した場合のメモリリークの問題を修正しました。* 既存の TLS 証明書がある場合 (6.1.2 で紹介された問題) に、証明書の生成を要求しないようにしました。## 開発者およびプロトコル * 新しいフック: 「HOOKTYPE_WATCH_ADD」、「HOOKTYPE_WATCH_DEL」、「HOOKTYPE_MONITOR_NOTIFICATION」。* フック「HOOKTYPE_IS_HANDSHAKE_FINISHED」がすべての場所で適切に呼び出されるようになりました。* モジュールから URL を簡単にフェッチするための新しい [URL API] (https://www.unrealircd.org/docs/Dev:URL_API) が提供されました。(FEDORA-2023-239 f057b33)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける unrealircd パッケージを更新してください。参考資料
https://bodhi.fedoraproject.org/updates/FEDORA-2023-239f057b33
プラグインの詳細
深刻度: High
ID: 187047
ファイル名: fedora_2023-239f057b33.nasl
バージョン: 1.0
タイプ: local
エージェント: unix
ファミリー: Fedora Local Security Checks
公開日: 2023/12/17
更新日: 2023/12/17
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
脆弱性情報
CPE: cpe:/o:fedoraproject:fedora:38, p-cpe:/a:fedoraproject:fedora:unrealircd
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/12/9
脆弱性公開日: 2023/12/9
参照情報
FEDORA: 2023-239f057b33