Amazon Linux 2023:python3、python3-devel、python3-idle (ALAS2023-2023-104)

high Nessus Plugin ID 173191

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此,它受到 ALAS2023-2023-104 公告中所提及的多個弱點影響。

- Linux 主機上 3.9.16 之前的 Python 3.9.x 版和 3.10.9 之前的 3.10.x 版允許使用者在非預設組態中提升本機權限。在 Linux 上與 forkserver 啟動方法結合使用時,Python 多處理庫允許從同一計算機中本機網路命名空間中的任何使用者還原序列化 pickles,這在許多系統組態中是指同一計算機上的任何使用者。Pickles 可執行任意程式碼。
因此,這允許將本機使用者權限提升為執行任何 forkserver 處理程序的使用者。將 multiprocessing.util.abstract_sockets_supported 設為 False 是一種因應措施。用於多重處理的 forkserver 啟動方法不是預設的啟動方法。此問題是 Linux 系統所特有,因為只有 Linux 支援抽象命名空間通訊端。 3.9 版之前的 CPython 預設為不使用 Linux 抽象命名空間通訊端。在 3.7.8 和 3.8.3 版中,新增了對使用者手動指定抽象命名空間通訊端的支援,但在 3.9 之前的 CPython 中,使用者需要進行特定的非常見 API 呼叫才能做到這樣。(CVE-2022-42919)

- 在 Python 3.11.1 之前版本中發現一個問題。處理 IDNA (RFC 3490) 解碼器的部分輸入時,一個路徑中存在不必要的二次方演算法,如此一來,向解碼器顯示特製的過長名稱可導致 CPU 拒絕服務。主機名稱通常由遠端伺服器提供,而伺服器可能被惡意使用者控制,在這種情況下,他們可在嘗試使用攻擊者提供的假想主機名稱的用戶端上觸發 CPU 過度消耗。
例如,可以在狀態碼為 302 的 HTTP 回應的 Location 標頭中放置攻擊承載。計劃在 3.11.1、3.10.9、3.9.16、3.8.16 和 3.7.16 中進行修正。(CVE-2022-45061)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「dnf update python3.9 --releasever=2023.0.20230222」以更新系統。

另請參閱

https://alas.aws.amazon.com/AL2023/ALAS-2023-104.html

https://alas.aws.amazon.com/cve/html/CVE-2022-42919.html

https://alas.aws.amazon.com/cve/html/CVE-2022-45061.html

https://alas.aws.amazon.com/faqs.html

Plugin 詳細資訊

嚴重性: High

ID: 173191

檔案名稱: al2023_ALAS2023-2023-104.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2023/3/21

已更新: 2023/4/20

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5.3

媒介: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2022-42919

CVSS v3

風險因素: High

基本分數: 7.8

時間分數: 7

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:python-unversioned-command, p-cpe:/a:amazon:linux:python3, p-cpe:/a:amazon:linux:python3-debug, p-cpe:/a:amazon:linux:python3-devel, p-cpe:/a:amazon:linux:python3-idle, p-cpe:/a:amazon:linux:python3-libs, p-cpe:/a:amazon:linux:python3-test, p-cpe:/a:amazon:linux:python3-tkinter, p-cpe:/a:amazon:linux:python3.9-debuginfo, p-cpe:/a:amazon:linux:python3.9-debugsource, cpe:/o:amazon:linux:2023

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2023/2/17

弱點發布日期: 2022/11/7

參考資訊

CVE: CVE-2022-42919, CVE-2022-45061

IAVA: 2022-A-0467-S, 2023-A-0061-S