MiracleLinux 3python-2.4.3-24.6.1AXS3 (AXSA:2009-367:02)
critical Nessus Plugin ID 284392
語言:
概要
遠端 MiracleLinux 主機缺少一個或多個安全性更新。說明
遠端 MiracleLinux 3 主機已安裝受到多個弱點影響的套件如 AXSA:2009-367:02 公告中所提及。Python 是經過解譯的互動式物件導向程式設計語言常與 Tcl、Perl、Scheme 或 Java 相提並論。Python 包括模組、類別、例外狀況、非常高階的動態資料類型,以及動態輸入。Python 支援許多系統呼叫和程式庫的介面,以及多個 Window 系統 (X11、Motif、Tk、 Mac 和 MFC) 的介面。
程式設計人員可以 C 或 C++ 編寫適用於 Python 的新內建模組。Python 可做為需要程式設計介面之應用程式的延伸語言使用。此套件包含大多數標準 Python 模組以及用於連接 Tk 和 RPM 之 Tix widget 集的模組。
請注意python-docs 套件提供 Python 的文件。
修正的錯誤:
CVE-2007-2052 Python 2.4 和 2.5 之 Modules/_localemodule.c 中 PyLocale_strxfrm 函式存有差一錯誤會造成用於 strxfrm 函式的緩衝區大小不正確進而允許內容相依的攻擊者透過透過因遺漏 null 終止而觸發緩衝區過度讀取的未知操控。
CVE-2007-4965 在 Python 2.5.1 和更舊版本中imageop 模組有多個整數溢位允許內容相依的攻擊者透過 (1) tovideo 方法的特製引數造成拒絕服務 (應用程式損毀) 且可能取得敏感資訊 (記憶體內容)與 (2) imageop.c、(3) rbgimgmodule.c 和其他檔案相關的不明其他向量會觸發堆積型緩衝區溢位。
CVE-2008-1721 在 Python 2.5.2 和更舊版本中zlib 延伸模組中的整數正負號錯誤允許遠端攻擊者透過帶負號的整數執行任意程式碼其可觸發記憶體配置不足及緩衝區溢位。
CVE-2008-1887 Python 2.5.2 和更舊版本允許內容相依的攻擊者透過多個向量執行任意程式碼導致負大小值提供給 PyString_FromStringAndSize 函式該函式在 assert() 停用時配置比預期更少的記憶體並觸發緩衝區溢位。
CVE-2008-2315 Python 2.5.2 與更舊版本中有多個整數溢位允許內容相依的攻擊者透過與 (1) stringobject、(2) unicodeobject、(3) bufferobject、(4) longobject、(5) tupleobject 有關的向量造成未知影響、(6) stropmodule、(7) gcmodule 和 (8) mmapmodule 模組。注意 2.5.2 中 stringobject 和 unicodeobject 之 expandtabs 整數溢位的問題涵蓋在 CVE-2008-5031之內。
CVE-2008-3142 在 32 位元平台上的 Python 2.5.2 和更舊版本中有多個緩衝區溢位允許內容相依的攻擊者透過長字串導致 Unicode 字串處理期間發生拒絕服務 (當機) 或造成其他不明影響與 相關unicode_resize 函式和 PyMem_RESIZE 巨集。
CVE-2008-31432.5.2 之前的 Python 中有多個整數溢位問題可能允許內容相依的攻擊者透過與 (1) Include/pymem.h 相關的向量造成未知影響(2) _csv.c、(3) _struct.c、(4) arraymodule.c、(5) audioop.c、(6) binascii.c、(7) cPickle.c、(8) cStringIO.c、 ( 9) Modules/ 中的 cjkcodecs/multibytecodec.c、(10) datetimemodule.c、(11) md5.c、(12) rgbimgmodule.c 和 (13) stropmodule.c Objects/ 中的 (14) bufferobject.c、(15) listobject.c 和 (16) obmalloc.c (17) Parser/node.c和 Python/ 中的 (18) asdl.c、(19) ast.c、(20) bltinmodule.c 和 (21) compile.c已由 Google 提供的整數溢位檢查解決。
CVE-2008-3144 和更舊版本的 Python 2.5.2 和更舊版本的 Python/mysnprintf.c 中的 PyOS_vsnprintf 函式存有多個整數溢位問題其允許內容相依的攻擊者透過特製的輸入至字串格式化作業造成拒絕服務 (記憶體損毀) 或其他不明影響。注意特定整數值的處理也會受到相關整數反向溢位和差一錯誤的影響。
CVE-2008-4864 在 Python 1.5.2 至 2.5.1 的 imageop 模組中imageop.c 有多個整數溢位問題其允許內容相依的攻擊者中斷 Python VM 並透過crop 函式之特定引數中的大整數值執行任意程式碼進而導致一個緩衝區溢位弱點不同於 CVE-2007-4965 和 CVE-2008-1679。
CVE-2008-5031 Python 2.2.3 到 2.5.1與 2.6中的多個整數溢位允許內容相依的攻擊者透過 expandtabs 方法 tabsize 引數中的大整數值造成不明影響如 (1) string_expandtabs 函式所實作在 Objects/stringobject.c 中以及 (2) Objects/unicodeobject.c 中的 unicode_expandtabs 函式。注意據報此弱點之所以存在是因為 CVE-2008-2315的修正不完整。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 284392
檔案名稱: miracle_linux_AXSA-2009-367.nasl
版本: 1.1
類型: local
已發布: 2026/1/14
已更新: 2026/1/14
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
Vendor
Vendor Severity: High
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2008-5031
CVSS v3
風險因素: Critical
基本分數: 9.8
時間性分數: 8.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2008-4864
弱點資訊
CPE: p-cpe:/a:miracle:linux:tkinter, p-cpe:/a:miracle:linux:python-tools, p-cpe:/a:miracle:linux:python, p-cpe:/a:miracle:linux:python-devel, cpe:/o:miracle:linux:3
必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2009/8/19
弱點發布日期: 2007/4/16
參考資訊
CVE: CVE-2007-2052, CVE-2007-4965, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-3142, CVE-2008-3143, CVE-2008-3144, CVE-2008-4864, CVE-2008-5031