Debian DLA-1716-1：ikiwiki 安全性更新

high Nessus Plugin ID 122928

語系：

概要

遠端 Debian 主機缺少一個安全性更新。

說明

ikiwiki 維護人員發現彙總外掛程式未使用 LWPx::ParanoidAgent。在啟用彙總外掛程式的網站上，即使已安裝 LWPx::ParanoidAgent，授權的 wiki 編輯者也可以告訴 ikiwiki 擷取潛在的不良 URI：透過檔案的本機檔案：攻擊者可能會濫用的其他 URI 配置，例如 gopher：解析為回送 IP 位址 (127.xxx) 的主機，解析為 RFC 1918 IP 位址 (192.168.xx 等) 的主機。攻擊者可能會利用此弱點來發布不應存取的資訊，透過要求回應速度較慢的 'tarpit’ URI 導致拒絕服務，或者如果本機網頁伺服器實作不安全的 GET 要求，則可能導致意外的副作用。(CVE-2019-9187) 另外，如果未安裝 liblwpx-paranoidagent-perl，則 blogspam、openid 和 pinger 外掛程式將回復為 LWP，進而容易受到類似攻擊。對於 blogspam 外掛程式來說，這不太可能是一個實際問題，因為它要求的 URL 受 wiki 管理員控制，但是 openid 外掛程式可以要求由未經驗證的遠端使用者控制的 URL，而 pinger 外掛程式可以要求由授權 wiki 編輯者控制的 URL。這個問題在 ikiwiki 3.20190228 中已解決 (如下所示)，並將相同的修正反向移植到版本 3.20170111.1 中的 Debian 9：- 不接受 http: 和 https: 以外的 URI 配置，以阻止訪問 file:、gopher: 等。- 如果在 ikiwiki 設定檔案中設定了 proxy，則該 proxy 將用於所有傳出的 http: 和 https: 要求。在這種情況下，proxy 將負責阻止任何不需要的要求，包括回送或 RFC 1918 位址。-如果未設定 proxy，並且已安裝 liblwpx-paranoidagent-perl，則將使用後者。這樣可以防止回送和 RFC 1918 IP 位址，並設定逾時以避免因為 'tarpit’ URI 導致拒絕服務。- 否則，將使用一般 LWP 使用者代理程式。這將允許要求回送和 RFC 1918 IP 位址的要求，並且具有較弱的逾時行為。我們不會將其視為弱點：如果您的網站不接受此行為，請務必安裝 LWPx::ParanoidAgent 或停用受影響的外掛程式。針對 Debian 8「Jessie」，此問題已在 3.20141016.4+deb8u1 版本中修正。建議您升級 ikiwiki 套件。此外，建議您一併安裝 liblwpx-paranoidagent-perl，它列在 ikiwiki 的「推薦」欄位中。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。