Prosody XMPP 服务器安全公告总结 (2026-04-29) 漏洞概述 本次公告涉及 Prosody XMPP 服务器软件中的两个安全漏洞: 1. 内存耗尽导致的拒绝服务 (DoS):攻击者可通过发送少量流量但消耗大量内存的流量模式,或利用并发连接和资源泄漏,导致服务器内存耗尽。 2. SOCKS5 代理未授权访问 (mod_proxy65):由于代码缺陷, 模块的访问控制失效,允许未授权用户通过代理转发数据。 影响范围 内存耗尽漏洞: 所有 之前的版本均受影响。 该漏洞与 库( )密切相关,使用 或更高版本可缓解。 SOCKS5 代理漏洞: 所有 和 之前的版本均受影响。 仅影响启用了 模块的部署。 修复方案 升级软件: 建议所有用户升级至 Prosody 13.0.5。 仍在运行 系列的用户可升级至 0.12.6。 缓解措施: 针对内存耗尽: 利用系统防火墙限制连接速率和总连接数(例如使用 或 )。 不建议大幅降低 Prosody 默认的每连接带宽限制,这可能影响正常服务。 针对 SOCKS5 代理: * 如果不需要文件传输功能,可禁用 模块。 利用代码 (POC) 页面中未包含具体的 POC 代码或利用代码。