Prosody XMPP 服务器安全公告总结 (2026-04-29) 漏洞概述 该公告涉及 Prosody XMPP 服务器软件中的两个安全漏洞: 1. 内存耗尽导致的拒绝服务 (DoS):攻击者可通过发送少量未认证流量消耗服务器大量内存。 2. 未认证的 SOCKS5 代理使用 (mod_proxy65):由于访问控制存在缺陷,允许未认证用户通过代理发送数据。 影响范围 受影响版本:所有 13.0.5 之前的版本。 修复版本:12.6 和 13.0.5。 修复方案 升级软件:建议所有 Prosody 用户升级至 13.0.5 或 12.6。 防火墙限制: 配置系统防火墙限制连接速率和总连接数。 使用 示例: 使用 iptables/nftables 的 功能限制每个 IP 的连接数。 降低速率限制:建议大幅降低 Prosody 的每连接带宽速率限制(参考原始报告博客),但这可能会增加资源消耗。 禁用 mod_proxy65:如果不需要文件传输功能,可以禁用 ,但这可能会影响文件传输功能。 详细漏洞信息 1. 内存耗尽导致的拒绝服务 (DoS) CVE:CVE-2025-9975, CVE-2025-9976 CVSS:7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) 描述: 流量模式被发现可导致 Prosody 消耗过多内存,即使流量很小。 Prosody 的每连接速率限制保护因内存使用与传输数据的放大效应而减弱。 Prosody 未对连接总数强制执行限制,攻击者可通过并发连接增加影响。 攻击揭示了每连接资源消耗问题,即使流结束,连接仍可能继续消耗资源。 修复: 引入了未认证流的 stanza 大小限制。 修复了四个内存泄漏(两个未认证,两个已认证)。 引入了配置每 IP 连接限制的功能(实验性状态,建议优先使用系统防火墙)。 2. 未认证的 SOCKS5 代理使用 (mod_proxy65) CVE:CVE-2025-9977 CVSS:5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L) 描述: 的访问控制被破坏且不完整。 由于默认网络后端的更改, 认为“已暂停”的连接实际上能够发送数据。 仅在协议的可发现性阶段检查访问控制规则,而不是在激活阶段。能够猜测代理域名和端口的实体可以跳过可发现性阶段并使用代理。 限制: 旨在促进文件传输和其他二进制流,它不是通用的 SOCKS5 代理。 它不执行出站连接,因此可能被滥用于转发攻击者的连接到任意端点。 需要双方建立到代理的连接并执行 SOCKS5 握手。 修复: 修复了未认证连接的问题。 * 修复了缺失的授权问题。