Debian dla-4354pypy3 - 安全性更新
medium Nessus Plugin ID 272097
語言:
概要
遠端 Debian 主機上缺少一個或多個安全性更新。說明
遠端 Debian 11 主機已安裝受到多個弱點影響的套件如 dla-4354 公告中所提及。- ------------------------------------------------- ------------------------ Debian LTS 公告 DLA-4354-1 [email protected] https://www.debian.org/lts/security/Andrej Shadura 2025 年 10 月 31 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------
套件 pypy3 版本 7.3.5+dfsg-2+deb11u5 CVE ID CVE-2024-6232 CVE-2024-6923 CVE-2024-7592 CVE-2024-11168 CVE-2025-0938 CVE-2025-1795 CVE-2025-6069 CVE-2025-8291
此上傳可修正 PyPy (Python 3 語言的替代實作) 隨附之 Python 標準程式庫中的一些安全性問題。
CVE-2024-6232
tarfile 模組用於剖析使用允許回溯的規則運算式剖析 tar 的標頭值其可用來透過特製的 tar 封存 (ReDoS) 造成拒絕服務。由於 tar 標頭採用的是眾所周知的格式不需要回溯即可可靠地剖析新的剖析方法僅需要位元組資料流的單次通過。
CVE-2024-6923
序列化電子郵件訊息時電子郵件模組未正確引用新行這可用來插入會影響電子郵件標頭解譯的新行。攻擊者可造成部分電子郵件標頭被完全略過或可能將惡意標頭隱藏在其他標頭中。
CVE-2024-7592
http.cookies 在剖析 cookie 值中含有引號字元的反斜線 cookie 時會使用具有二次方復雜度的演算法導致在剖析該值時會過度使用 CPU 資源。例如剖析一個 20000+ 位元組的 cookie 大約需要一秒 (ReDoS)。
CVE-2024-11168 和 CVE-2025-0938
urllib.parse.urlsplit 和 urlparse 函式未正確驗證包含方括弧的網域名稱進而允許非 IPv6 或 IPvFuture 的主機。
CVE-2025-1795
在電子郵件模組中地址清單折疊期間當分隔逗號結束於折疊行且該行將以 Unicode 編碼時分隔符號本身也會以 Unicode 編碼。預期的行為是分隔逗號保持為計劃逗號。這可導致某些郵件伺服器錯誤解譯位址標頭。
CVE-2025-6069
處理某些格式錯誤的特製輸入時html.parser.HTMLParser 類別具有最壞的二次方復雜度可能導致放大拒絕服務。
CVE-2025-8291
zipfile 模組不會檢查 ZIP64 中央目錄結尾 (EOCD) 的有效性。
不會使用定位器記錄位移值來尋找 ZIP64 EOCD 記錄的位置而是假設 ZIP64 EOCD 記錄為 ZIP 封存中的先前記錄。這可能遭到濫用進而建立 zipfile 模組處理方式與其他 ZIP 實作不同的 ZIP 封存。修復會維持此行為,但會檢查 ZIP64 EOCD Locator 記錄中指定的位移是否符合預期值。
針對 Debian 11 Bullseye這些問題已在 7.3.5+dfsg-2+deb11u5 版本中修正。
我們建議您升級 pypy3 套件。
如需有關 pypy3 安全性狀態的詳細資訊,請參閱其安全追蹤頁面:
https://security-tracker.debian.org/tracker/pypy3
有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊,請參閱:https://wiki.debian.org/LTS
Tenable 已直接從 Debian 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級 pypy3 套件。另請參閱
https://security-tracker.debian.org/tracker/source-package/pypy3
https://security-tracker.debian.org/tracker/CVE-2024-11168
https://security-tracker.debian.org/tracker/CVE-2024-6232
https://security-tracker.debian.org/tracker/CVE-2024-6923
https://security-tracker.debian.org/tracker/CVE-2024-7592
https://security-tracker.debian.org/tracker/CVE-2025-0938
https://security-tracker.debian.org/tracker/CVE-2025-1795
https://security-tracker.debian.org/tracker/CVE-2025-6069
Plugin 詳細資訊
嚴重性: Medium
ID: 272097
檔案名稱: debian_DLA-4354.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2025/10/31
已更新: 2025/10/31
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.2
CVSS v2
風險因素: High
基本分數: 7.8
時間性分數: 6.1
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS 評分資料來源: CVE-2024-7592
CVSS v3
風險因素: High
基本分數: 7.5
時間性分數: 6.7
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
風險因素: Medium
Base Score: 6.3
Threat Score: 2.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:L/SA:N
CVSS 評分資料來源: CVE-2025-0938
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:pypy3-tk, p-cpe:/a:debian:debian_linux:pypy3-dev, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:pypy3-lib, p-cpe:/a:debian:debian_linux:pypy3-doc, p-cpe:/a:debian:debian_linux:pypy3, p-cpe:/a:debian:debian_linux:pypy3-lib-testsuite
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2025/10/31
弱點發布日期: 2024/8/1
參考資訊
CVE: CVE-2024-11168, CVE-2024-6232, CVE-2024-6923, CVE-2024-7592, CVE-2025-0938, CVE-2025-1795, CVE-2025-6069, CVE-2025-8291