偵測

Debian DLA-2628-1:python2.7 安全性更新

medium Nessus Plugin ID 148749

語系:

概要

遠端 Debian 主機缺少一個安全性更新。

說明

在 python2.7 中發現 2 個安全性問題:

CVE-2019-16935

Python 2.7 版中的文件 XML-RPC 伺服器存在 XSS 弱點,攻擊者藉由 server_title 欄位可觸發此弱點。在 Python 2.x 的 Lib/DocXMLRPCServer.py 中,以及在 Python 3.x 的 Lib/xmlrpc/server.py 中會發生這個情況。如果使用未受信任的輸入呼叫 set_server_title,則可以將任意 JavaScript 傳遞至造訪此伺服器之 http URL 的用戶端。

CVE-2021-23336

Python2.7 容易受到 Web 快取毒害攻擊,攻擊者可使用稱為 parameter cloaking 的向量透過 urllib.parse.parse_qsl 和 urllib.parse.parse_qs 發動攻擊。當攻擊者可使用分號 (;) 分隔查詢參數時,可造成 Proxy (以預設組態執行) 和伺服器之間的要求解譯不同。這可導致程式將惡意要求快取為完全安全的要求,因為 Proxy 通常不會將分號視為分隔符號,因此不會將其包含在無索引鍵參數的快取金鑰中。

**注意,API 變更!**如果您的軟體使用「urllib.parse.parse_qs」或「urllib.parse.parse_qsl」、「cgi.parse」或「cgi.parse_multipart」,請確認它可以正常運作。

較早的 Python 版本允許在「urllib.parse.parse_qs」和「urllib.parse.parse_qsl」中使用 「;」和「&」作為查詢參數分隔符號。出於安全性考慮,並且爲了符合較新的 W3C 建議,這已變更為僅允許使用單一分隔符號的金鑰,且預設為「&」。此變更也影響 「cgi.parse」和「cgi.parse_multipart」,因為它們在內部使用受影響的函式。如需更多詳細資訊,請參閱其各自的文件。

針對 Debian 9 Stretch,已在 2.7.13-2+deb9u5 版本中修正這些問題。

我們建議您升級 python2.7 套件。

如需有關 python2.7 安全性狀態的詳細資訊,請參閱其安全追蹤頁面:
https://security-tracker.debian.org/tracker/python2.7

注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

升級受影響的套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2021/04/msg00015.html

https://packages.debian.org/source/stretch/python2.7

https://security-tracker.debian.org/tracker/source-package/python2.7

Plugin 詳細資訊

嚴重性: Medium

ID: 148749

檔案名稱: debian_DLA-2628.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2021/4/19

已更新: 2024/1/12

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.0

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.4

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2019-16935

CVSS v3

風險因素: Medium

基本分數: 6.1

時間分數: 5.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:idle-python2.7, p-cpe:/a:debian:debian_linux:libpython2.7, p-cpe:/a:debian:debian_linux:libpython2.7-dbg, p-cpe:/a:debian:debian_linux:python2.7-dev, p-cpe:/a:debian:debian_linux:python2.7-doc, p-cpe:/a:debian:debian_linux:python2.7-examples, p-cpe:/a:debian:debian_linux:python2.7-minimal, cpe:/o:debian:debian_linux:9.0, p-cpe:/a:debian:debian_linux:libpython2.7-dev, p-cpe:/a:debian:debian_linux:libpython2.7-minimal, p-cpe:/a:debian:debian_linux:libpython2.7-stdlib, p-cpe:/a:debian:debian_linux:libpython2.7-testsuite, p-cpe:/a:debian:debian_linux:python2.7, p-cpe:/a:debian:debian_linux:python2.7-dbg

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2021/4/17

弱點發布日期: 2019/9/28

參考資訊

CVE: CVE-2019-16935, CVE-2021-23336