Debian セキュリティ勧告

DLA-0021-1 fail2ban -- LTS セキュリティ更新

報告日時:
2014-07-26
影響を受けるパッケージ:
fail2ban
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-7176, CVE-2013-7177.
詳細:
  • フィルターの failregex にアンカーを使うことによりDoSの可能性を回避 手作業で取り上げた 0.8 ブランチの現在の状態 (0.8.13-29-g09b2016 時点):
    • CVE-2013-7176: postfix.conf - 先頭にアンカーを使い、ログ行の頭にpostfix/smtpdを想定
    • CVE-2013-7177: cyrus-imap.conf - 先頭にアンカーを使い、failregex を一つ使うように作り直し
    • couriersmtp.conf - 前後にアンカー
    • exim.conf - 先頭にアンカーを使ったバージョンを exim.conf と exim-spam.conf から取り込み
    • lighttpd-fastcgi.conf - 先頭にアンカーを使ったバージョンを suhosin.conf から取り込み (Wheezy バージョンから複製)
  • cyrus-imap について、安全な経路 (imaps/pop3s) を経由したログイン失敗も捕捉。 failregex 0.8.11 (bd175f) での強靱化の際にリグレッション: Debianバグ#755173
  • cyrus-imap: user not foundの企ても捕捉

Debian 6 Squeezeでは、この問題は fail2ban バージョン 0.8.4-3+squeeze3 で修正されています。