openSUSE 安全更新：fail2ban (openSUSE-SU-2014:0348-1)

medium Nessus 插件 ID 75283

语言：

简介

远程 openSUSE 主机缺少安全更新。

描述

fail2ban 工具已更新到版本 0.8.12，修复了各种安全问题并引入若干缺陷补丁和功能。

已修复的安全问题：未经认证的远程攻击者可能导致任意 IP 地址被 Fail2ban 阻止，从而导致合法用户被阻止访问受 Fail2ban 保护的服务。
CVE-2013-7177 (cyrus-imap) 和 CVE-2013-7176 (postfix)

- logrotate 之后使用新的 flushlogs 语法

- 更新到版本 0.8.12

- 现在可通过“flushlogs”命令进行日志轮转，而不必重新加载 fail2ban 或者保持 jail.conf/local 和 /etc/logrotate.d/fail2ban 中的 logtarget 设置的一致性。（dep#697333、rh#891798）。

- 添加了 ignorecommand 选项，用于允许动态确定是否忽略某个 IP。

- 删除向 SYSLOG 记录日志时 name 和 loglevel 的缩进，以解决 syslog(-ng) 解析问题。
(dep#730202)。日志行现在还在名称部分之后报告“[PID]”。

- Epoch 日期现在可被放在 [] 内

- 新操作：badips、firewallcmd-ipset、ufw、blocklist_de

- 新过滤器：solid-pop3d、nsd、openwebmail、horde、freeswitch、squid、ejabberd、openwebmail、groupoffice

- 过滤器改进：

- apache-noscript 现在包含 php cgi 脚本

- exim-spam 过滤器以匹配 SAdevnull 选项的 spamassassin 日志条目。

- 已添加到“Received disconnect from : 3: Auth fail”的 sshd 过滤器表达式

- 改进了 Asterisk 的 ACL 处理

- 向 postfix 过滤器添加了正确的命令管道。

- 常规补丁：

- 为缺少的过滤器添加了去年一年中创建的大量 jail.conf 条目。

- 更改了 synchat 以使用 push 方法来验证是否发送了所有数据。这可确保在关闭连接之前发送所有数据。

- 修复了 python 2.4 兼容性（因为日期模式中的亚秒与 2.4 不兼容）

- 修复了 Complain/email 操作以在报告中仅包含相关 IP

- 过滤器补丁：

- 向 apache 过滤器添加了 apache 访问日志的 HTTP referrer 位。

- 修复了 Apache 2.4 perfork regex

- 内核 syslog 表达式可包含前导空格

- 允许在 proftpd.log 的自定义日期格式中使用“,milliseconds”

- recidive jail 以阻断所有协议

- smtps 非 IANA 标准，因此 /etc/services 中可能缺少。因为（仍然）常用的 465 已被用作显式端口号

- 通过更大的会话字符范围来搜索 regex 中的 dovecot 重新排序会话和 TLS 项目

- 不良补丁（可能不兼容的变更）：

- 不幸的是，在上一发行版本的末尾添加 firewall-cmd-direct-new 操作时，它太长并且具有被破坏的操作检查。该操作已被重命名为 firewallcmd-new 以符合 jail name 名称长度。
(gh#fail2ban/fail2ban#395)。

- 上一发行版本添加了 mysqld-syslog-iptables 作为 jail 配置。此 jailname 太长，已被重命名为 mysqld-syslog。

- 修复了变更日志中 github 引用的格式

- 重新格式化了 spec 文件

- 更新到版本 0.8.11

- 根据触发我们上一发行版本的 CVE-2013-2178，我们已投入大量精力来加强过滤器的所有 regex，以避免类似漏洞。我们尚未对所有 regex 检查可能的 DoS 情况，但此版本可能修复了存在的另一个 DoS 漏洞。大量过滤器已更新，包含了更多支持之前被禁止故障的故障 regex，同时支持更高的应用程序版本。我们已对大多数情况进行测试，但是，如果您有演示过滤器不充分的其他示例，欢迎向我们反馈。在为避免 DoS 漏洞而加强 regex 期间，尽管出于最好的意愿，但我们仍有可能无意间错误地允许故障继续发生。

解决了可能的 DoS。关闭 [Init] 中的 gh#fail2ban/fail2ban#248、bnc#824710。
关闭 gh#fail2ban/fail2ban#232

- 更新 asterisk 过滤器。关闭 gh#fail2ban/fail2ban#227、gh#fail2ban/fail2ban#230。

- 更新 asterisk 以包含 AUTH_UNKNOWN_DOMAIN。
关闭 gh#fail2ban/fail2ban#244。在 Fedora 上。关闭 gh#fail2ban/fail2ban#112。感谢 Camusensei 提供缺陷报告。见解。关闭 gh#fail2ban/fail2ban#103。

- [f2156604] pyinotify -- 监控 IN_MOVED_TO 事件。
关闭 gh#fail2ban/fail2ban#184。感谢 Jon Foster 提供报告和排除故障。Orion Poplawski

- [39667ff6] 避免泄漏文件描述符。关闭 gh#fail2ban/fail2ban#167。关闭 gh#fail2ban/fail2ban#147、gh#fail2ban/fail2ban#148。

- [b6a68f51] 修复服务器端的 delaction。关闭 gh#fail2ban/fail2ban#124。fail2ban-client。关闭 gh#fail2ban/fail2ban#134。gh#fail2ban/fail2ban#70。
感谢 iGeorgeX 的想法。

- [96eb8986] 操作标签中也应转义 ' 和 ' 关闭 gh#fail2ban/fail2ban#109 beilber 的想法。
关闭 gh#fail2ban/fail2ban#114。fail2ban 正在运行。
关闭 gh#fail2ban/fail2ban#166。

- [29d0df5] 添加 mysqld 过滤器。关闭 gh#fail2ban/fail2ban#152。

- [bba3fd8] 添加 Sogo 过滤器。关闭 gh#fail2ban/fail2ban#117。

- [be06b1b] 添加用于 iptables-ipsets 的操作。关闭 gh#fail2ban/fail2ban#102。

- [f336d9f] 添加用于 webmin 的过滤器。关闭 gh#fail2ban/fail2ban#99。持续。关闭 gh#fail2ban/fail2ban#172。

- [b36835f] 向 fail2ban-client 添加 get cinfo。关闭 gh#fail2ban/fail2ban#124。关闭 gh#fail2ban/fail2ban#142。关闭 gh#fail2ban/fail2ban#126。Michael Heuberger 提供的缺陷报告。

- [3aeb1a9] 添加 jail.conf 手册页。关闭 gh#fail2ban/fail2ban#143。因错误配置的 DNS 而禁止。关闭 gh#fail2ban/fail2ban#64

- [0935566，5becaf8] 各种 python 2.4 和 2.5 兼容性补丁。关闭控制台中的 gh#fail2ban/fail2ban#83。关闭 gh#fail2ban/fail2ban#91 日志文件使“banip”或“unbanip”生效。关闭 gh#fail2ban/fail2ban#81、gh#fail2ban/fail2ban#86

- [f52ba99] 将“已禁止”从“警告”等级降为“通知”等级。为此 gh#fail2ban/fail2ban#87 关闭 gh#fail2ban/fail2ban#79）消息保持非 unicode。
关闭 gh#fail2ban/fail2ban#32 开发人员的好友在 Windows 上卡住（关闭 gh#fail2ban/fail2ban#66）反复触犯。关闭 gh#fail2ban/fail2ban#19 关闭 gh#fail2ban/fail2ban#47（关闭：#669063）