偵測

MiracleLinux 7rh-python38 (AXSA:2021-2383:01)

high Nessus Plugin ID 294617

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 7 主機已安裝受到多個弱點影響的套件如 AXSA:2021-2383:01 公告中所提及。

 * python-cryptography針對 RSA 解密的 Bleichenbacher 定時 oracle 攻擊 (CVE-2020-25659)
 * python在測試套件中對透過 HTTP 擷取的資料不安全地使用 eval() (CVE-2020-27619)
 * python-lxmlmXSS這是因為使用不當剖析器所導致 (CVE-2020-27783)
 * python-jinja2sub-pattern 導致的 ReDoS 弱點 (CVE-2020-28493)
 * python-cryptography對稱加密的大量輸入可觸發整數溢位進而導致緩衝區溢位 (CVE-2020-36242)
 * python_ctypes/callproc.c 的 PyCArg_repr 中發生堆疊型緩衝區溢位 (CVE-2021-3177)
 * python透過 pydoc 造成資訊洩漏 (CVE-2021-3426)
 * python-babel相對路徑遊走允許攻擊者載入任意地區設定檔案及執行任意程式碼 (CVE-2021-20095)
 * python在查詢參數中使用分號進而造成 urllib.parse.parse_qsl 和 urllib.parse.parse_qs 的 Web 快取毒害 (CVE-2021-23336)
 * python-lxmlformaction HTML5 屬性的遺漏輸入清理可能導致 XSS (CVE-2021-28957)
 * python-ipaddress八進位字串的不當輸入驗證 (CVE-2021-29921)
 * python-urllib3URL 的授權單位部分剖析中發生 ReDoS (CVE-2021-33503)
 * python-pip不正確處理 git 參照中的 unicode 分隔符號 (CVE-2021-3572)

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/13565

Plugin 詳細資訊

嚴重性: High

ID: 294617

檔案名稱: miracle_linux_AXSA-2021-2383.nasl

版本: 1.1

類型: local

已發布: 2026/1/20

已更新: 2026/1/20

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 8.4

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: High

基本分數: 7.5

時間性分數: 5.9

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2021-3177

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

風險因素: High

Base Score: 8.8

Threat Score: 7.8

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:H/SC:N/SI:N/SA:N

CVSS 評分資料來源: CVE-2020-36242

弱點資訊

CPE: p-cpe:/a:miracle:linux:rh-python38-python, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:rh-python38-python-rpm-macros, p-cpe:/a:miracle:linux:rh-python38-python-lxml, p-cpe:/a:miracle:linux:rh-python38-python-debug, p-cpe:/a:miracle:linux:rh-python38-python-idle, p-cpe:/a:miracle:linux:rh-python38-python-tkinter, p-cpe:/a:miracle:linux:rh-python38-python-pip-wheel, p-cpe:/a:miracle:linux:rh-python38-python-srpm-macros, p-cpe:/a:miracle:linux:rh-python38-python-test, p-cpe:/a:miracle:linux:rh-python38-python-jinja2, p-cpe:/a:miracle:linux:rh-python38-python-libs, p-cpe:/a:miracle:linux:rh-python38-python-pip, p-cpe:/a:miracle:linux:rh-python38-python-cryptography, p-cpe:/a:miracle:linux:rh-python38-python-urllib3, p-cpe:/a:miracle:linux:rh-python38-python-babel, p-cpe:/a:miracle:linux:rh-python38-python-devel

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2021/8/24

弱點發布日期: 2020/10/22

參考資訊

CVE: CVE-2020-25659, CVE-2020-27619, CVE-2020-27783, CVE-2020-28493, CVE-2020-36242, CVE-2021-23336, CVE-2021-28957, CVE-2021-29921, CVE-2021-3177, CVE-2021-33503, CVE-2021-3426, CVE-2021-3572