Debian DLA-3477-1:python3.7 - LTS 安全性更新
high Nessus Plugin ID 177875
語系:
概要
遠端 Debian 主機上缺少一個或多個安全性更新。說明
遠端 Debian 10 主機上安裝的多個套件受到 dla-3477 公告中提及的多個弱點影響。- 在 Python (即 CPython) 3.10.8 和之前的所有版本中,mailcap 模組不會將逸出字元新增到在系統 mailcap 檔案中發現的命令中。這可能允許攻擊者將 shell 命令插入使用未受信任的輸入呼叫 mailcap.findmatch 的應用程式中 (若未驗證使用者提供的檔案名稱或引數) 。此修正也已反向移植至 3.7、 3.8、 3.9 (CVE-2015-20107)
- 在 python 中發現一個缺陷。在使用非二進位基底的二次時間複雜度演算法中,當使用 int(text) 時,系統可能需要 50 秒才能剖析具有 100,000 位數的 int 字串,而對於具有 1,000,000 位數的 int 字串,則需要 5 秒 (二進位基底爲 2、4、8、16 和 32 的 float、decimal、int.from_bytes() 和 int() 不受影響)。此弱點對系統可用性威脅最大。(CVE-2020-10735)
- Python 3 的 pydoc 中有一個瑕疵。本機或鄰近攻擊者若發現或能夠誘騙其他本機或鄰近使用者啟動 pydoc 伺服器,則可以存取此伺服器,並藉此洩漏他們通常無法存取的屬於其他使用者的敏感資訊。此瑕疵對資料機密性的風險最大。此瑕疵影響 Python 3.8.9 之前版本、Python 3.9.3 之前版本以及 Python 3.10.0a7 之前版本。(CVE-2021-3426)
- urllib 的 AbstractBasicAuthHandler 類別中有一個缺陷。控制 HTTP 用戶端 (例如網頁瀏覽器) 所連線之惡意 HTTP 伺服器的攻擊者,可使用伺服器傳送至用戶端的特製承載,在驗證要求期間觸發規則運算式拒絕服務 (ReDOS)。此缺陷對應用程式的可用性威脅最大。
(CVE-2021-3733)
- 在 python 中發現一個缺陷。由於未正確處理 Python HTTP 用戶端程式碼中的 HTTP 回應,這就允許能夠控制 HTTP 伺服器的遠端攻擊者使用戶端指令碼進入無限迴圈,進而消耗 CPU 時間。此弱點對系統可用性威脅最大。(CVE-2021-3737)
- 在 Python 中發現一個缺陷瑕疵,尤其是在 PASV (被動式) 模式下的 FTP (檔案傳輸通訊協定) 用戶端程式庫中。問題在於 FTP 用戶端在預設情況下如何信任來自 PASV 回應的主機。此缺陷允許攻擊者設定惡意的 FTP 伺服器,誘騙 FTP 用戶端重新連線至指定的 IP 位址和連接埠。此弱點可導致 FTP 用戶端掃描連接埠,而這本來是不可能的。(CVE-2021-4189)
- 在 Python 3.11.1 之前版本中發現一個問題。處理 IDNA (RFC 3490) 解碼器的部分輸入時,一個路徑中存在不必要的二次方演算法,如此一來,向解碼器顯示特製的過長名稱可導致 CPU 拒絕服務。主機名稱通常由遠端伺服器提供,而伺服器可能被惡意使用者控制,在這種情況下,他們可在嘗試使用攻擊者提供的假想主機名稱的用戶端上觸發 CPU 過度消耗。
例如,可以在狀態碼為 302 的 HTTP 回應的 Location 標頭中放置攻擊承載。計劃在 3.11.1、3.10.9、3.9.16、3.8.16 和 3.7.16 中進行修正。(CVE-2022-45061)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級 python3.7 套件。針對 Debian 10 buster,已在 3.7.3-2+deb10u5 版本中修正這些問題。
另請參閱
https://security-tracker.debian.org/tracker/source-package/python3.7
https://www.debian.org/lts/security/2023/dla-3477
https://security-tracker.debian.org/tracker/CVE-2015-20107
https://security-tracker.debian.org/tracker/CVE-2020-10735
https://security-tracker.debian.org/tracker/CVE-2021-3426
https://security-tracker.debian.org/tracker/CVE-2021-3733
https://security-tracker.debian.org/tracker/CVE-2021-3737
https://security-tracker.debian.org/tracker/CVE-2021-4189
Plugin 詳細資訊
嚴重性: High
ID: 177875
檔案名稱: debian_DLA-3477.nasl
版本: 1.0
類型: local
代理程式: unix
已發布: 2023/7/1
已更新: 2023/7/1
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.5
CVSS v2
風險因素: High
基本分數: 8
時間分數: 6.6
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:C/A:P
CVSS 評分資料來源: CVE-2015-20107
CVSS v3
風險因素: High
基本分數: 7.6
時間分數: 7.1
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L
時間媒介: CVSS:3.0/E:F/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:idle-python3.7, p-cpe:/a:debian:debian_linux:libpython3.7, p-cpe:/a:debian:debian_linux:libpython3.7-dbg, p-cpe:/a:debian:debian_linux:libpython3.7-dev, p-cpe:/a:debian:debian_linux:libpython3.7-minimal, p-cpe:/a:debian:debian_linux:libpython3.7-stdlib, p-cpe:/a:debian:debian_linux:libpython3.7-testsuite, p-cpe:/a:debian:debian_linux:python3.7, p-cpe:/a:debian:debian_linux:python3.7-dbg, p-cpe:/a:debian:debian_linux:python3.7-dev, p-cpe:/a:debian:debian_linux:python3.7-doc, p-cpe:/a:debian:debian_linux:python3.7-examples, p-cpe:/a:debian:debian_linux:python3.7-minimal, p-cpe:/a:debian:debian_linux:python3.7-venv, cpe:/o:debian:debian_linux:10.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2023/6/30
弱點發布日期: 2021/4/7
參考資訊
CVE: CVE-2015-20107, CVE-2020-10735, CVE-2021-3426, CVE-2021-3733, CVE-2021-3737, CVE-2021-4189, CVE-2022-45061