Linux Distros 未修補弱點:CVE-2023-37276
high Nessus Plugin ID 226202
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。- aiohttp 是適用於 asyncio 和 Python 的非同步 HTTP 用戶端/伺服器架構。aiohttp v3.8.4 及其更早版本隨 llhttp v6.0.6 一起搭售。aiohttp 會在可用時針對其 HTTP 要求剖析器使用有弱點的程式碼,這是從 wheel 安裝時的預設情況。此弱點只會影響使用 aiohttp 作為 HTTP 伺服器 (即「aiohttp.Application」) 的使用者,如果您使用 aiohttp 作為 HTTP 用戶端程式庫 (即「aiohttp.ClientSession」),則不會受到此弱點影響。傳送特製的 HTTP 要求會造成伺服器錯誤解譯其中一個 HTTP 標頭值,進而導致 HTTP 要求走私。
此問題已在 3.8.5 版中解決。建議所有使用者進行升級。無法升級的使用者可使用 `AIOHTTP_NO_EXTENSIONS=1` 作為環境變數重新安裝 aiohttp,以停用 llhttp HTTP 要求剖析器實作。純 Python 實作不會受到影響。(CVE-2023-37276)
請注意,Nessus 依賴供應商報告的套件存在。
解決方案
目前尚未有已知的解決方案。Plugin 詳細資訊
嚴重性: High
ID: 226202
檔案名稱: unpatched_CVE_2023_37276.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/3/5
已更新: 2025/3/5
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: High
基本分數: 7.8
時間性分數: 6.1
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS 評分資料來源: CVE-2023-37276
CVSS v3
風險因素: High
基本分數: 7.5
時間性分數: 6.7
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched
可被惡意程式利用: true
可輕鬆利用: Exploits are available
弱點發布日期: 2023/7/19
參考資訊
CVE: CVE-2023-37276