关键漏洞信息 Package: ikiwiki Version: 3.20141016.4+deb8u1 CVE ID: CVE-2019-9187 漏洞描述 ikiwiki的维护者发现聚合插件未使用LWPx::ParanoidAgent。在启用了聚合插件的站点上,授权的wiki编辑者可以告诉ikiwiki获取潜在的不期望的URI,即使LWPx::ParanoidAgent已安装。 受影响的URI类型 本地文件: file: URI 其他可能被攻击者滥用的URI方案: 如gopher:、解析为环回IP地址(127.x.x.x)、解析为RFC 1918 IP地址(192.168.x.x等)的主机。 潜在风险 用于发布不应访问的信息 通过请求“tar pit”URI导致拒绝服务 如果本地Web服务器实现“不安全”的GET请求,可能引起不期望的副作用 解决方案 在ikiwiki 3.20190228版本中修复,并向Debian 9回溯至3.20170111.1版本。 不接受除http:和https:之外的URI方案,防止访问file:、gopher:等。 如果配置了代理,则用于所有传出的http:和https:请求,阻止任何不必要的请求,包括环回或RFC 1918地址。 如果未配置代理且安装了liblwpx-paranoidagent-perl,则使用,防止环回和RFC 1918 IP地址的请求,并设置超时避免通过“tar pit”URI的拒绝服务。 否则,使用普通LWP用户代理,允许请求环回和RFC 1918 IP地址,且具有不太稳定的超时行为。 推荐升级 建议升级ikiwiki包,并推荐安装liblwpx-paranoidagent-perl,列于ikiwiki的推荐字段。 Debian 8 "Jessie" 版本修复 问题已在3.20141016.4+deb8u1版本中修复。