Debian DLA-1716-1：ikiwiki 安全更新

high Nessus 插件 ID 122928

语言：

简介

远程 Debian 主机缺少安全更新。

描述

Ikiwiki 维护人员发现，聚合插件未使用 LWPx::ParanoidAgent。在启用了聚合插件的网站上，即使已安装 LWPx::ParanoidAgent，经过授权的 wiki 编辑器也可以请求 ikiwiki 提取可能不想要的 URI：通过 file: URI 的本地文件攻击者可能会滥用的其他 URI 方案，如 gopher: 解析到环回 IP 地址的主机 (127.x.x.x) 解析到 RFC 1918 IP 地址的主机（192.168.x.x 等）如果本地 web 服务器实施了“unsafe”GET 请求，那么攻击者可能会利用此问题发布本应无权访问的信息，从而通过请求响应缓慢的“tarpit”URI 造成拒绝服务，或造成意外副作用。(CVE-2019-9187) 此外，如果未安装 liblwpx-paranoidagent-perl，则 blogspam、openid 和 pinger 插件可能会回退到容易受到类似攻击的 LWP。由于 blogspam 插件请求的 URL 受到 wiki 管理员的控制，因此可能不存在实际问题，但 openid 插件可以请求受到未经身份验证的远程用户控制的 URL，而 pinger 插件可以请求受到经过授权的 wiki 编辑器控制的 URL。此问题在 ikiwiki 3.20190228 中解决如下，在 3.20170111.1 版本中相同的修复措施已向后移植到 Debian 9：- 不接受 http: 和 https: 以外的 URI 方案，以防止访问 file:、gopher: 等。- 如果 ikiwiki 设置文件中配置了代理，则会用于所有传出的 http: 和 https: 请求。在这种情况下，该代理会负责封锁任何不想要的请求，包括环回或 RFC 1918 地址。- 如果未配置代理，但安装了 liblwpx-paranoidagent-perl，则会使用后者。这种方式能够防止环回和 RFC 1918 IP 地址，并设置超时，避免通过“tarpit”URI 造成拒绝服务。- 在其他情况下，会使用普通的 LWP 用户代理。这种方式允许环回和 RFC 1918 IP 地址请求，并且超时行为不如前者。我们未将此问题视为漏洞：如果您的网站不接受此行为，请务必安装 LWPx::ParanoidAgent 或禁用受影响的插件。对于 Debian 8“Jessie”，这一问题已在 3.20141016.4+deb8u1 版本中修复。建议您升级 ikiwiki 程序包。此外，建议您安装 liblwpx-paranoidagent-perl，此插件已列在 ikiwiki 的建议字段中。注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动整理和排版。