Debian DSA-5511-1:mosquitto - 安全性更新
medium Nessus Plugin ID 182418
語系:
概要
遠端 Debian 主機上缺少一個或多個安全性更新。說明
遠端 Debian 11/12 主機上安裝的多個套件受到 dsa-5511 公告中提及的多個弱點影響。- 在 Eclipse Mosquitto 2.0 至 2.0.11 版中,使用動態安全性 plugin 時,如果在持久用戶端離線的情況下撤銷用戶端訂閱某主題的能力,則不會撤銷該用戶端的現有訂閱。(CVE-2021-34434)
- 在 Eclipse Mosquitto 1.6 至 2.0.11 版中,連線至大量使用者內容屬性的 MQTT v5 用戶端可造成過高的 CPU 使用率,進而導致缺乏效能並可能發生拒絕服務。(CVE-2021-41039)
- 在 Eclipse Mosquitto 1.3.2 至 2.0.16 之前的 2.x 版 broker 中,存在記憶體洩漏問題,當用戶端傳送許多含有重複訊息 ID 的 QoS 2 訊息,且無法回應 PUBREC 命令時,可從遠端濫用此問題。發生此問題的原因是不當處理來自 libc send 函式的 EAGAIN。
(CVE-2023-28366)
- 2.0.17 Broker:* 修正「max_queued_messages 0」,使用戶端無法接收訊息 * 修正未正確設定的「max_inflight_messages」。應用程式:* 修正「mosquitto_passwd -U」備份檔案建立。
2.0.16 安全性:* CVE-2023-28366:修正當用戶端傳送多個具有相同訊息 ID 的 QoS 2 訊息,但隨後從未回應 PUBREC 命令時,代理人中發生的記憶體洩漏。* CVE-2023-0809:修正根據非 CONNECT 封包的惡意初始封包配置的過度記憶體。* CVE-2023-3592:
修正用戶端傳送遺願訊息中包含無效內容類型的 v5 CONNECT 封包時發生的記憶體洩漏問題。* Broker 現會拒絕嘗試發布至 $CONTROL/ 的 Will 訊息。* Broker 現可驗證 TLS 憑證或 TLS-PSK 身分中提供的使用者名稱是否為有效的 UTF-8。* 修正載入無效持續性檔案時可能發生的當機。* 程式庫將不再允許單一層級萬用字元憑證,例如
*.com Broker:* 修正 $SYS 訊息在 60 秒後過期而導致未變更的值消失的問題。* 修正使用後未立即清除某些保留的主題記憶體。* 修正與「bind_interface」選項相關的錯誤處理。* 修正在程序化 (構建已移除宣告) 時 std* 檔案未重新導向的問題。* 修正未正確允許 TLS v1.1 的預設設定。* 針對 stdout 使用行緩沖模式。關閉 #2354。* 修正具有不相符 cleansession/local_cleansession 的橋接器,該橋接器會在從持續性還原後開始時到期。* 修正在 Windows 上限制為 2048 的連線。在支援的情況下,現在的限制為 8192。* 如果敏感檔案是任何人皆可讀取/寫入,或者擁有者/群組與執行 Broker 的使用者/群組不同,Broker 會記錄警告。在未來版本中,代理程式將拒絕開啟這些檔案。* mosquitto_memcmp_const 現在多是常數時間。* 如果已啟用 DLT 記錄,則僅使用 DLT 註冊。* 修正 json 字串可能未正確載入的任何情況。僅在從檔案載入 dynsec 組態時,如果角色的文字名稱或文字描述欄位不是字串,這可造成當機。* Dynsec plugin 在從檔案載入組態時,將不允許重複的用戶端/群組/角色,其符合建立時的行為。* 修正使用 log_dest 檔案讀取損毀組態時的堆積溢位。用戶端程式庫:* 使用可用的 CLOCK_BOOTTIME 追踪時間。這可解決用戶端 OS 睡眠的問題,以及用戶端因此無法計算 keepalive 用途的實際時間的問題。* 修正未正確允許 TLS v1.1 的預設設定。* 修正慢速 TLS 連線時高 CPU 使用率的問題。用戶端:* 修正 mosquitto_sub json 輸出中不正確的主題別名內容值。* 修正 TLS 憑證驗證時令人混淆的訊息。應用程式:* mosquitto_passwd 使用 mkstemp() 進行備份檔案。*「mosquitto_ctrl dynsec init」將拒絕覆寫沒有爭用情形的現有檔案。(CVE-2023-0809、 CVE-2023-3592)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級 mosquitto 套件。針對穩定的發行版本 (bookworm),已在第 2.0.11-1.2+deb12u1 版中修正這些問題。
另請參閱
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=993400
https://security-tracker.debian.org/tracker/source-package/mosquitto
https://www.debian.org/security/2023/dsa-5511
https://security-tracker.debian.org/tracker/CVE-2021-34434
https://security-tracker.debian.org/tracker/CVE-2021-41039
https://security-tracker.debian.org/tracker/CVE-2023-0809
https://security-tracker.debian.org/tracker/CVE-2023-28366
https://security-tracker.debian.org/tracker/CVE-2023-3592
Plugin 詳細資訊
嚴重性: Medium
ID: 182418
檔案名稱: debian_DSA-5511.nasl
版本: 1.0
類型: local
代理程式: unix
已發布: 2023/10/2
已更新: 2023/10/2
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.9
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2021-34434
CVSS v3
風險因素: Medium
基本分數: 5.3
時間分數: 4.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:libmosquitto-dev, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libmosquittopp-dev, p-cpe:/a:debian:debian_linux:mosquitto, p-cpe:/a:debian:debian_linux:libmosquitto1, p-cpe:/a:debian:debian_linux:libmosquittopp1, p-cpe:/a:debian:debian_linux:mosquitto-dev, p-cpe:/a:debian:debian_linux:mosquitto-clients, cpe:/o:debian:debian_linux:12.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2023/10/1
弱點發布日期: 2021/8/30
參考資訊
CVE: CVE-2021-34434, CVE-2021-41039, CVE-2023-0809, CVE-2023-28366, CVE-2023-3592