検出

Fedora 43:prosody(2026-36c53b9ca8)

high Nessus プラグイン ID 313719

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 43 ホストには、FEDORA-2026-36c53b9ca8 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 #韻律 13.0.5

 Upstream は、安定したブランチからの新しいマイナーリリースを発表できることを嬉しく思います。

 これは、Prosody 13.0.x 安定版(stable)シリーズのセキュリティリリースです。これは、以前のリリース以来実装されている複数のセキュリティ問題、一部のメモリリーク、およびいくつかの軽微なバグや変更を修正します。

 セキュリティの脆弱性についての詳細は、Upstream の [セキュリティアドバイザリ](https://prosody.im/security/advisory_735dd9d3/)を参照してください。Upstream は、 13.0.4 またはそれ以前の Prosody の全オペレーターに対して、なるべく早く 13.0.5 にアップグレードするか、アドバイザリを確認して適切な緩和策を実装することが推奨されます。

 このリリースでの変更のサマリー:

 ## セキュリティ
 - mod_proxy65:認証チェックを一貫して適用します
 - mod_proxy65:バイトストリームが有効化されるまでデータをプロキシしません
 - mod_c2s、mod_s2s:新しい事前認証スタンザサイズ制限を導入します
 - stanza 最大子要素の制限を追加します
 - mod_c2s:切断時にタイマーをすぐに削除します
 - net.server_epoll:切断後にタイマーをクリーンアップします

 ## 修正と改善
 - net.http.parser:チャンクされたリクエストの処理を修正します
 - MUC:JID 会議室の帽子機能をアドバタイズ
 - moduleapi:set の代わりに複数テーブルの追加/削除を使用します(メモリリークを修正します)
 - mod_cloud_notify:「send_iq()」を使用することによる iq 応答ハンドラーの漏洩を修正します
 - IP アドレスのみを使用するサーバーとのフェデレーションを改善します
 - prosody:システム全体にインストールされた場合、ローカルコードがロードされることを防ぎます
 - mod_http_file_share:範囲リクエストの処理を改善します
 - mod_carbons:一部の炭素の意思決定のバグを修正します

 ## マイナーな変更
 - net.resolvers:IP アドレスの SRV 検索を回避するために修正します
 - prosody:互換性のない Lua バージョンで早期に中止
 - mod_turn_external:タイプ「==」の認証情報を配布することも順番になります
 - mod_s2s:ストリームアドレス指定を完全に検証
 - prosodyctl チェック機能:http ファイル共有がホストとコンポーネントの両方で有効になっている場合に警告します
 - util.prosodyctl:無効になっているmod_posixをチェックせず、廃止予定です
 - util.startup:構成ファイルのロードに失敗したときのエラーメッセージを改善します
 - util.x509:iPAddress 証明書のサポートを追加します
 - prosodyctl:パスワードエントリから末尾の改行を削除します
 - mod_admin_shell:cert インデックス検索パスを構成ファイルに関連するものにします
 - mod_admin_shell:マルチホストコマンド処理を改善します
 - mod_admin_shell:セクション名のみを指定する場合、ヘルプリストを表示
 - mod_admin_shell:新規/既存ユーザーにパスワードを設定する際にパスワードの有効性を確保します
 - mod_account_activity:ユーザー情報を返さない認証プロバイダーを処理します
 - config:enum オプションの値が正しくない場合、デフォルト値を使用します
 - mod_http:ストリーミングリクエストを処理して、リダイレクトハンドラーの呼び出しを回避します


Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける prosody パッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2026-36c53b9ca8

プラグインの詳細

深刻度: High

ID: 313719

ファイル名: fedora_2026-36c53b9ca8.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/5/10

更新日: 2026/5/10

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2026-43507

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:prosody, cpe:/o:fedoraproject:fedora:43

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/5/1

脆弱性公開日: 2026/5/1

参照情報

CVE: CVE-2026-43504, CVE-2026-43505, CVE-2026-43506, CVE-2026-43507