概要
遠端 Debian 主機上缺少一個或多個安全性更新。
說明
遠端 Debian 11 主機上安裝的多個套件受到 dla-4041 公告中提及的多個弱點影響。
------------------------------------------------------------------------- Debian LTS 公告 DLA-4041-1 [email protected] https://www.debian.org/lts/security/Jochen Sprickerhof 2025 年 2 月 3 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------
套件: python-aiohttp 版本: 3.7.4-1+deb11u1 CVE ID: CVE-2023-47627 CVE-2023-47641 CVE-2023-49081 CVE-2023-49082 CVE-2024-23334 CVE-2024-23829 CVE-2024-27306 CVE-2024-30251 CVE-2024-52304 Debian 錯誤:
適用於 asyncio 和 Python 的非同步 HTTP 用戶端/伺服器架構 aiohttp 中發現多個問題。這些問題與索引頁面上的 HTTP 剖析器、連結遊走和 XSS 有關。
CVE-2023-47627
AIOHTTP 中的 HTTP 剖析器有數個標頭剖析問題,這些問題可導致要求走私。此剖析器只會在啟用 AIOHTTP_NO_EXTENSIONS 時或未使用預先構建的 wheel 時使用。
CVE-2023-47641
受影響的 aiohttp 版本存在 http 通訊協定解譯不一致的安全弱點。HTTP/1.1 是一種持續性通訊協定,當 Content-Length(CL) 和 Transfer-Encoding(TE) 標頭值同時存在時,可能導致剖析 HTTP 的兩個實體解譯錯誤,進而對其他 socket 造成影響。若要進行概念驗證 (PoC),其中一種可行的方法是設定一個接受 CL 和 TE 標頭的反向代理伺服器作為前端,並將 aiohttp 設定為後端。由於 aiohttp 會剖析所有包含 chunked 的內容,因此我們可以將 TE 設為 chunked123,如此一來前端實體就會略過此標頭並根據 Content-Length 進行剖析。此弱點的影響在於攻擊者可以繞過任何代理伺服器規則並影響其他使用者的 socket,例如傳送驗證標頭。如果系統內存在「開放重新導向」,攻擊者還能結合其功能將隨機使用者重新導向至其他網站並記錄要求資訊。
CVE-2023-49081
由於驗證機制不完善,導致攻擊者能夠修改 HTTP 要求 (例如插入新標頭),在掌握 HTTP 版本控制權時甚至可以建立新的要求。此弱點僅在攻擊者有能力控制要求的 HTTP 版本時才會產生影響。
CVE-2023-49082
由於驗證機制不完善,導致攻擊者能夠修改 HTTP 要求 (例如插入新標頭),在掌握 HTTP 方法時甚至可以建立新的要求。此弱點僅在攻擊者有能力控制要求的 HTTP 方法 (GET、POST 等) 時才會產生影響。如果攻擊者可以控制要求的 HTTP 版本,則可以修改要求內容 (要求走私)。
CVE-2024-23334
使用 aiohttp 作為 Web 伺服器並設定靜態路由時,必須指定靜態檔案的 root 路徑。
此外,還可以使用「follow_symlinks」選項來決定是否遵循靜態 root 目錄之外的符號連結。
當 'follow_symlinks' 設為 True 時,系統不會驗證讀取的檔案是否位於 root 目錄內。這可能導致目錄遊走弱點,也就是說即使在未使用符號連結的情況下,攻擊者仍然可以未經授權存取系統上的任意檔案。針對此問題,建議的緩解措施是停用 follow_symlinks 並使用反向代理伺服器。
CVE-2024-23829
Python HTTP 剖析器的安全性敏感機制所允許的字元集存在細微差異,這些差異必須觸發錯誤處理,才能完全比對代理伺服器的訊框邊界,以防止遭人插入其他要求。此外,驗證過程中可能會觸發例外狀況,這些狀況的處理方式與其他格式錯誤的輸入不一致。若系統的驗證標準比網際網路標準更寬鬆,在特定部署環境下可能會為要求走私提供可乘之機。未處理的例外狀況可造成應用程式伺服器和/或其記錄設施過度耗用資源。
CVE-2024-27306
在靜態檔案處理的索引頁面上存在一個 XSS 弱點。
CVE-2024-30251
在受影響的版本中,攻擊者可傳送特製的 POST (多重/表單資料) 要求。當 aiohttp 伺服器處理它時,伺服器將進入無限迴圈,且無法處理任何進一步的要求。攻擊者可在傳送單一要求後,停止應用程式處理要求。
CVE-2024-52304
Python 剖析器並未正確剖析區塊延伸模組中的新行,這在某些情況下會導致要求走私弱點。如果已安裝 aiohttp 的純 Python 版本 (即
未安裝常用的 C 延伸模組) 或啟用 `AIOHTTP_NO_EXTENSIONS`,則攻擊者可執行要求走私攻擊,以繞過某些防火牆或代理伺服器保護機制。
針對 Debian 11 bullseye,已在 3.7.4-1+deb11u1 版本中修正這些問題。
建議您升級 python-aiohttp 套件。
如需 python-aiohttp 的詳細安全性狀態,請參閱其安全追蹤頁面:
https://security-tracker.debian.org/tracker/python-aiohttp
有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊,請參閱: https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 簽章
Tenable 已直接從 Debian 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級 python-aiohttp-doc 套件。
Plugin 詳細資訊
檔案名稱: debian_DLA-4041.nasl
代理程式: unix
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:python-aiohttp-doc, p-cpe:/a:debian:debian_linux:python3-aiohttp-dbg, p-cpe:/a:debian:debian_linux:python3-aiohttp, cpe:/o:debian:debian_linux:11.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可輕鬆利用: Exploits are available