Confira !!
Uma atualização que corrige quatro vulnerabilidades já está disponível.
Atualização de segurança do openSUSE: atualização de segurança para prosódia
______________________________________________________________________________
ID do anúncio: openSUSE-SU-2021: 0751-1
Avaliação: importante
Referências: # 1186027
Referências cruzadas: CVE-2021-32917 CVE-2021-32918 CVE-2021-32919
CVE-2021-32920
Produtos afetados:
Backports do openSUSE SLE-15-SP2
______________________________________________________________________________
Uma atualização que corrige quatro vulnerabilidades já está disponível.
Descrição:
Esta atualização para prosódia corrige os seguintes problemas:
prosódia foi atualizada para 0.11.9:
Segurança:
* mod_limits, prosody.cfg.lua: Habilita limites de taxa por padrão
* certmanager: Desative a renegociação por padrão
* mod_proxy65: Restringir o acesso às conexões c2s locais por padrão
* util.startup: Defina padrões mais agressivos para GC
* mod_c2s, mod_s2s, mod_component, mod_bosh, mod_websockets: Definir padrão
limites de tamanho de estrofe
* mod_authinternal {plain, hashed}: Use comparação de string de tempo constante para
segredos
* mod_dialback: Remova o recurso dialback-without-dialback
* mod_dialback: Use comparação de tempo constante com hmac
Pequenas alterações:
* util.hashes: Adicionar comparação de string de tempo constante (vinculando a
CRYPTO_memcmp)
* mod_c2s: Não lance erros no código assíncrono quando as conexões acabarem
* mod_c2s: Fix traceback no fechamento da sessão quando conn é nulo
* core.certmanager: Melhorar a detecção de recursos LuaSec / OpenSSL
* mod_saslauth: Use um erro SASL definido
* MUC: Adicionar suporte para publicidade muc # roomconfig_allowinvites na sala
disco # info
* mod_saslauth: Não lance erros no código assíncrono quando as conexões forem
foi
* mod_pep: Anuncie recurso pubsub base (correções # 1632: mod_pep ausente
pubsub recurso na discoteca)
* configuração de verificação de prosodyctl: Adicionar ??? gc ??? para a lista de opções globais
* prosodyctl sobre: Relate a versão libexpat, se conhecida
* util.xmppstream: Adicionar API para configurar dinamicamente o limite de tamanho da estrofe
para um riacho
* util.set: Adicione is_set () para testar se um objeto é um conjunto
* mod_http: Ignorar resolução de IP em caso sem proxy
* mod_c2s: Log sobre a falta de conexão em mudanças de estado assíncrono
* util.xmppstream: Reduz o limite interno xmppstream padrão para 1 MB
Relevante: https://prosody.im/security/advisory_20210512
* boo # 1186027: Aviso de servidor Prosody XMPP 2021-05-12
* CVE-2021-32919
* CVE-2021-32917
* CVE-2021-32917
* CVE-2021-32920
* CVE-2021-32918
Atualize para 0.11.8:
Segurança:
* mod_saslauth: Desativar ??? tls-unique ??? vinculação de canal com TLS 1.3
(# 1542)
Correções e melhorias:
* net.websocket.frames: Melhore o desempenho de mascaramento de websocket usando o
novo util.strbitop
* util.strbitop: Biblioteca para operações bit a bit eficientes em strings
Pequenas alterações:
* MUC: Anuncie corretamente se o assunto pode ser alterado (# 1155)
* MUC: Preservar disco ??? nó ??? atributo (ou falta dele) nas respostas
(# 1595)
* MUC: Corrigir bug lógico que faz com que presença desnecessária seja enviada (# 1615)
* mod_bosh: Corrigir erro se o cliente tentar se conectar ao componente (# 425)
* mod_bosh: Escolha o ??? espere ??? antes de verificar em vez de antes
* mod_pep: Anuncie o recurso base PubSub (# 1632)
* mod_pubsub: corrige a configuração do tipo de estrofe de notificação (# 1605)
* mod_s2s: Impede que as manutenções de atividade antes que o cliente estabeleça um fluxo
* net.adns: Correção de bug que envia pacotes de DNS vazios (# 1619)
* net.http.server: Não envie Content-Length em respostas 1xx / 204 (# 1596)
* net.websocket.frames: Corrigir bug de cálculo de comprimento (# 1598)
* util.dbuffer: Faça a API de comprimento em linha com as strings Lua
* util.dbuffer: Otimize as operações de substring
* util.debug: Corrige locais sendo relatados sob o frame de pilha incorreto em alguns
casos
* util.dependencies: Correção da verificação da biblioteca de operações bitwise Lua (# 1594)
* util.interpolation: Corrige combinação de filtros e valores de fallback # 1623
* util.promise: Preserve tracebacks
* util.stanza: Rejeitar caracteres de controle ASCII (# 1606)
* temporizadores: certifique-se de que os temporizadores não possam bloquear outro processamento (# 1620)
Atualize para 0.11.7:
Segurança:
* mod_websocket: Aplicar limites de tamanho aos quadros recebidos (correções # 1593)
Correções e melhorias:
* mod_c2s, mod_s2s: torna os limites de tamanho da estrofe configuráveis
* Adicione opções de configuração para controlar os parâmetros de coleta de lixo da Lua
* net.http: suporte Backport SNI para solicitações HTTP de saída (# 409)
* mod_websocket: Processa todos os dados no buffer no quadro fechado e
erros de conexão (correções # 1474, # 1234)
* util.indexedbheap: Corrige a corrupção da estrutura de dados do heap, causando alguns
os temporizadores falham após um reagendamento (correções # 1572)
Atualize para 0.11.6:
Correções e melhorias:
* mod_storage_internal: Corrigir erro em consultas por tempo limitado em itens sem
???quando??? campo, corrige # 1557
* mod_carbons: Correção do manuseio de MUC PMs # 1540
* mod_csi_simple: Considere XEP-0353: Jingle Message Initiation é importante
* mod_http_files: Evite usar inode em etag, correções # 1498: Falha ao baixar
arquivo no FreeBSD
* mod_admin_telnet: Crie um resolvedor DNS por sessão de console (correções
# 1492: Comandos DNS do console Telnet utilidade reduzida)
* core.certmanager: Mova as cifras EECDH antes de EDH na cadeia de criptografia padrão
(corrige # 1513)
* mod_s2s: Escape XML inválido no loggin (da mesma forma que mod_c2s) (correções
# 1574: A entrada XML inválida na conexão s2s é registrada sem escape)
* mod_muc: Permitir controle sobre o recurso server-admins-are-room-owners
(ver # 1174)
* mod_muc_mam: Remova IDs de arquivo falsificados antes de arquivar (correções # 1552:
MUC MAM pode retirar seu próprio id de arquivo)
* mod_muc_mam: corrige o nome do evento do filtro de id de estrofe, corrige # 1546: mod_muc_mam
não remove ids de estrofe falsificados
* mod_muc_mam: corrige a falta de publicidade de XEP-0359, corrige # 1547:
mod_muc_mam não anuncia id de estrofe
Pequenas alterações:
* API net.http: Adicionar solicitação: método cancel ()
* API net.http: Fix traceback em URL inválido passado para request ()
* MUC: Persistir affiliation_data no novo formato MUC
* mod_websocket: Evento de disparo na criação da sessão (obrigado Aaron van Meerten)
* MUC: Sempre inclua ??? afiliação ??? / ??? papel ??? atributos, padrão
para ??? nenhum ??? se nulo
* mod_tls: Log quando os certificados são (re) carregados
* mod_vcard4: Reportar condição de erro correta (correções # 1521: mod_vcard4
relata o erro errado)
* net.http: Expor novamente a função destroy_request () (corrige API não intencional
quebra)
* net.http.server: Retire a porta do cabeçalho do Host de maneira compatível com IPv6 (correção
# 1302)
* util.prosodyctl: Diz à prosódia para fazer daemonizar via sinalização de linha de comando (correções
# 1514)
* SASL: Aplique o saslprep onde necessário, correções # 1560: O login falha se
a senha contém caracteres especiais
* net.http.server: Corrigir relatórios de cabeçalho de Host ausente
* API util.datamanager: Fix iterating over ??? users ??? (obrigado marc0s)
* net.resolvers.basic: conn_type padrão para ??? tcp ??? consistentemente se
não especificado (obrigado marc0s)
* mod_storage_sql: correção de verificação de limites de exclusão (correções # 1494)
* mod_admin_telnet: Lidar com informações de cifras indisponíveis (correções # 1510:
mod_admin_telnet backtrace)
* Registro de aviso ao usar prosodyctl start / stop / restart
* core.certmanager: Procure privkey.pem para ir com fullchain.pem (correções
# 1526)
* mod_storage_sql: Adicionar índice cobrindo sort_id para melhorar o desempenho
(corrige # 1505)
* mod_mam, mod_muc_mam: Permite que outro trabalho seja executado durante o arquivo
limpeza (corrige # 1504)
* mod_muc_mam: Não retire as tags MUC, correção # 1567: tags MUC removidas por
mod_muc_mam
* mod_pubsub, mod_pep: Garanta o número correto de filhos de (correções # 1496)
* mod_register_ibr: Adicione FORM_TYPE conforme exigido pelo XEP-0077 (correções # 1511)
* mod_muc_mam: Correção da mensagem de salvamento de rastreamento de não ocupante (corrige # 1497)
* util.startup: Remova a inicialização duplicada de registro (correção # 1527:
inicialização: registro inicializado duas vezes)
Esta atualização foi importada do openSUSE: Salto: 15.2: Projeto de atualização de atualização.
Instruções do patch:
Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
como YaST online_update ou "patch zypper".
Como alternativa, você pode executar o comando listado para o seu produto:
- Backports do openSUSE SLE-15-SP2:
zypper em patch -t openSUSE-2021-751 = 1
Lista de Pacotes:
- Backports do openSUSE SLE-15-SP2 (aarch64 ppc64le s390x x86_64):
prosódia-0.11.9-bp152.2.3.1
Referências:
https://www.suse.com/security/cve/CVE-2021-32917.html
https://www.suse.com/security/cve/CVE-2021-32918.html
https://www.suse.com/security/cve/CVE-2021-32919.html
https://www.suse.com/security/cve/CVE-2021-32920.html
https://bugzilla.suse.com/1186027
Até a próxima !!
Nenhum comentário:
Postar um comentário