Debian DSA-5511-1:mosquitto - 安全更新
critical Nessus 插件 ID 182418
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 11/12 主机上安装的多个程序包受到 dsa-5511 公告中提及的多个漏洞影响。- 在 Eclipse Mosquitto 2.0 至 2.0.11 版中,当使用动态安全插件时,如果在持久客户端脱机时撤销客户端订阅主题的能力,则不会撤销该客户端的现有订阅。(CVE-2021-34434)
- 在 Eclipse Mosquitto 1.6 至 2.0.11 版中,连接大量用户属性的 MQTT v5 客户端可能会导致 CPU 使用率过高,从而导致性能损失并可能导致拒绝服务。(CVE-2021-41039)
- 在 Eclipse Mosquitto 1.3.2 至 2.0.16 之前的 2.x 版中,代理存在内存泄漏,当客户端发送许多具有重复消息 ID 的 QoS 2 消息并且无法响应 PUBREC 命令时,该代理可能会被远程滥用。出现这种情况的原因是 libc 发送函数中对 EAGAIN 进行了错误处理。
(CVE-2023-28366)
- 2.0.17 代理:* 修复“max_queued_messages 0”阻止客户端接收消息 * 修复“max_inflight_messages”设置不正确。应用:* 修复“mosquitto_passwd -U”备份文件创建。
2.0.16 安全性:* CVE-2023-28366:修复当客户端发送具有相同消息 ID 的多个 QoS 2 消息但从不响应 PUBREC 命令时代理中的内存泄漏。* CVE-2023-0809:修复基于非 CONNECT 数据包的恶意初始数据包分配的过多内存。* CVE-2023-3592:
修复客户端发送带有包含无效属性类型的遗嘱消息的 v5 CONNECT 数据包时的内存泄漏。* 代理现在将拒绝尝试发布到 $CONTROL/ 的 Will 消息。* 代理现在会验证 TLS 证书或 TLS-PSK 身份中提供的用户名是否为有效的 UTF-8。* 修复加载无效持久性文件时潜在的崩溃。* 库将不再允许单级通配符证书,例如
*.com 代理:* 修复 $SYS 消息在 60 秒后过期,因此未更改的值消失。* 修复部分保留主题内存使用后未立即清除的问题。* 修复与“bind_interface”选项相关的错误处理。* 修复在删除断言构建时守护进程时 std* 文件不被重定向的问题。* 修复错误地允许 TLS v1.1 的默认设置。* 对标准输出使用行缓冲模式。关闭 #2354。* 修复从持久性恢复后启动时过期的不匹配 cleansession/local_cleansession 的桥。* 修复 Windows 上的连接数限制为 2048。在受支持的情况下,限制现在为 8192。* 如果敏感文件是全局可读/可写的,或者所有者/组与代理运行时的用户/组不同,则代理将记录警告。在未来的版本中,代理将拒绝打开这些文件。* mosquitto_memcmp_const 现在多为恒定时间。* 如果启用了 DLT 日志记录,则仅向 DLT 注册。* 修复 json 字符串可能被错误加载的任何可能情况。仅从文件加载 dynsec 配置时,如果角色的文本名称或文本描述字段不是字符串,这可能会导致崩溃。* 从文件加载配置时,Dynsec 插件不允许重复的客户端/组/角色,这与创建它们时的行为相匹配。* 修复使用 log_dest 文件读取损坏配置时的堆溢出问题。客户端库:* 如果可行,请使用 CLOCK_BOOTTIME 来跟踪时间。这解决了客户端操作系统休眠和客户端因此无法计算保持活动的实际时间的问题。* 修复错误地允许 TLS v1.1 的默认设置。 * 修复慢速 TLS 连接时 CPU 使用率较高的问题。客户端:* 修复 mosquitto_sub json 输出中不正确的 topic-alias 属性值。* 修复 TLS 证书验证中令人困惑的消息。应用:* mosquitto_passwd 使用 mkstemp() 来备份文件。 *“mosquitto_ctrl dynsec init”将拒绝覆盖现有文件,没有竞争条件。(CVE-2023-0809、CVE-2023-3592)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 mosquitto 程序包。对于稳定发行版本 (bookworm),已在 2.0.11-1.2+deb12u1 版本中修复这些问题。
另见
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=993400
https://security-tracker.debian.org/tracker/source-package/mosquitto
https://www.debian.org/security/2023/dsa-5511
https://security-tracker.debian.org/tracker/CVE-2021-34434
https://security-tracker.debian.org/tracker/CVE-2021-41039
https://security-tracker.debian.org/tracker/CVE-2023-0809
https://security-tracker.debian.org/tracker/CVE-2023-28366
https://security-tracker.debian.org/tracker/CVE-2023-3592
插件详情
严重性: Critical
ID: 182418
文件名: debian_DSA-5511.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2023/10/2
最近更新时间: 2025/1/24
支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2021-34434
CVSS v3
风险因素: Medium
基本分数: 5.3
时间分数: 4.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
风险因素: Critical
Base Score: 9.3
Threat Score: 8.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2023-3592
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libmosquitto-dev, p-cpe:/a:debian:debian_linux:libmosquitto1, p-cpe:/a:debian:debian_linux:libmosquittopp1, p-cpe:/a:debian:debian_linux:libmosquittopp-dev, p-cpe:/a:debian:debian_linux:mosquitto, p-cpe:/a:debian:debian_linux:mosquitto-dev, p-cpe:/a:debian:debian_linux:mosquitto-clients, cpe:/o:debian:debian_linux:12.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2023/10/1
漏洞发布日期: 2021/8/30
参考资料信息
CVE: CVE-2021-34434, CVE-2021-41039, CVE-2023-0809, CVE-2023-28366, CVE-2023-3592