偵測

GLSA-202405-01:Python、PyPy3:多個弱點

high Nessus Plugin ID 194974

語系:

說明

遠端主機受到 GLSA-202405-01 中所述的弱點影響 (Python、PyPy3:多個弱點)

 - 在 POSIX 平台上的 CPython 3.12.0「subprocess」模組中發現一個問題。問題已在 CPython 3.12.1 中修正,且不會影響其他穩定版本。使用「extra_groups=」參數,並將空白清單作為值 (即「extra_groups=[]」) 時,邏輯出現問題,不會在呼叫「exec()」之前呼叫「setgroups(0, NULL)」,因此在啟動新進程之前並沒有放棄原始進程的群組。不使用參數或使用除空白清單以外的任何值時,便沒有問題。此問題只會影響以足夠權限執行「setgroups」系統呼叫 (通常是「root」) 的 CPython 處理程序。(CVE-2023-6507)

 - 在 CPython 的 `tempfile.TemporaryDirectory` 類別中發現一個問題,此問題會影響 3.12.1、3.11.7、3.10.13、3.9.18、3.8.18 及更舊版本。tempfile.TemporaryDirectory 類別會在清理權限相關錯誤期間解除參照符號連結。這表示可執行特權程式的使用者在某些情況下,可能修改符號連結所參照之檔案的權限。
 (CVE-2023-6597)

 - 在 Python 3.11.4 之前的版本中,urllib.parse 元件中有一個問題,攻擊者可藉此提供以空白字元開頭的 URL,從而繞過封鎖清單方法。(CVE-2023-24329)

 - 在 Python 3.8.18 之前的版本,3.9.18 之前的 3.9.x 版、3.10.13 之前的 3.10.x 版、3.11.5 之前的 3.11.x 版中發現一個問題。該弱點主要影響使用 TLS 用戶端驗證的伺服器 (例如 HTTP 伺服器)。如果建立了 TLS 伺服器端通訊端,將資料接收到通訊端緩衝區,然後快速關閉,則有一個短暫的視窗,SSLSocket 執行個體會將通訊端偵測為「未連線」,且不會發起交握,但攻擊者仍可從通訊端緩衝區讀取緩衝的資料。如果伺服器端 TLS 對等端預期收到用戶端憑證驗證,則此資料將不會經過驗證,且無法與有效的 TLS 資料流資料區別開來。資料大小限制為緩衝區可容納的數量。(TLS 連線無法直接用於資料洩漏,因為有弱點的程式碼路徑要求在 SSLSocket 初始化時關閉連線。) (CVE-2023-40217)

 - 在 Python 3.11 版到 3.11.4 版中發現一個問題。如果將包含「\0」位元組的路徑傳遞至 os.path.normpath(),則路徑會在第一個「\0」位元組意外截斷。在某些看似合理的情況下,應用程式會因為安全性原因,在 Python 3.10.x 或更舊版本中拒絕檔案名稱,但在 Python 3.11.x 版中不再拒絕該檔案名稱。(CVE-2023-41105)

 - 在 CPython 的 `zipfile` 模組中發現一個問題,此問題會影響 3.12.1、3.11.7、3.10.13、3.9.18、3.8.18 及更舊版本。zipfile 模組容易受到重疊引用的 zip 炸彈攻擊,此攻擊可利用 zip 格式建立高壓縮率 zip 炸彈。在修正後的 CPython 版本中,zipfile 模組會拒絕與封存中項目重疊的 zip 封存。(CVE-2024-0450)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

所有 Python、PyPy3 使用者皆應升級至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=dev-lang/python-3.12.1:3.12 # emerge --ask --oneshot --verbose >=dev-lang/python-3.11.9:3.11 # emerge --ask --oneshot --verbose >=dev-lang/python-3.10.14:3.10 # emerge --ask --oneshot --verbose >=dev-lang/python-3.9.19:3.9 # emerge --ask --oneshot --verbose >=dev-lang/python-3.8.19:3.8 # emerge --ask --oneshot --verbose >=dev-python/pypy3-7.3.16 # emerge --ask --oneshot --verbose >=dev-python/pypy3_10-7.3.16 # emerge --ask --oneshot --verbose >=dev-python/pypy3_9-7.3.16

另請參閱

https://security.gentoo.org/glsa/202405-01

https://bugs.gentoo.org/show_bug.cgi?id=884653

https://bugs.gentoo.org/show_bug.cgi?id=897958

https://bugs.gentoo.org/show_bug.cgi?id=908018

https://bugs.gentoo.org/show_bug.cgi?id=912976

https://bugs.gentoo.org/show_bug.cgi?id=919475

https://bugs.gentoo.org/show_bug.cgi?id=927299

Plugin 詳細資訊

嚴重性: High

ID: 194974

檔案名稱: gentoo_GLSA-202405-01.nasl

版本: 1.0

類型: local

已發布: 2024/5/4

已更新: 2024/5/4

支援的感應器: Nessus

風險資訊

VPR

風險因素: High

分數: 7.1

CVSS v2

風險因素: High

基本分數: 7.8

時間分數: 6.1

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N

CVSS 評分資料來源: CVE-2023-41105

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: cpe:/o:gentoo:linux, p-cpe:/a:gentoo:linux:python, p-cpe:/a:gentoo:linux:pypy3_10, p-cpe:/a:gentoo:linux:pypy3, p-cpe:/a:gentoo:linux:pypy3_9

必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2024/5/4

弱點發布日期: 2023/2/17

參考資訊

CVE: CVE-2023-24329, CVE-2023-40217, CVE-2023-41105, CVE-2023-6507, CVE-2023-6597, CVE-2024-0450