MiracleLinux 8resource-agents-4.9.0-54.el8_10.29 (AXBA:2026-270:01)
high Nessus Plugin ID 301328
語言:
概要
遠端 MiracleLinux 主機缺少安全性更新。說明
遠端 MiracleLinux 8 主機已安裝受 AXBA:2026-270:01 公告中所提及一個弱點影響的套件。- urllib3 是 Python 的 HTTP 用戶端程式庫。 urllib3 的串流 API 設計為透過以區塊讀取內容來有效處理大型 HTTP 回應而非一次將整個回應內文載入記憶體。 urllib3 可根據 HTTP `Content-Encoding` 標頭 (例如 `gzip`、`deflate`、`br` 或 `zstd`) 執行解碼或解壓縮。使用資料流 API 時程式庫只會解壓縮必要的位元組進而啟用部分內容消耗。從 1.22 版及 2.6.3版之前的版本開始針對 HTTP 重新導向回應程式庫會讀取整個回應內文以排出連線並在不必要的情況下解壓縮內容。此解壓縮情況甚至在呼叫任何讀取方法之前就已發生且已設定的讀取限制並未限制解壓縮的資料量。因此沒有針對解壓縮炸彈的防護措施。惡意伺服器可惡意利用此弱點觸髮用戶端的過度資源消耗。應用程式和程式庫在未停用重新導向的情況下設定「preload_content=False」從不受信任的來源串流內容時會受到影響。使用者應至少升級至 urllib3 v2.6.3其中程式庫在發生「preload_content=False」時不會解碼重新導向回應的內容。如果無法立即升級請針對不受信任來源的要求設定 `redirect=False` 來停用重新導向。 (CVE-2026-21441)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 301328
檔案名稱: miracle_linux_AXBA-2026-270.nasl
版本: 1.1
類型: local
已發布: 2026/3/6
已更新: 2026/3/6
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
Vendor
Vendor Severity: N/a
CVSS v2
風險因素: High
基本分數: 7.8
時間性分數: 5.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS 評分資料來源: CVE-2026-21441
CVSS v3
風險因素: High
基本分數: 7.5
時間性分數: 6.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
風險因素: High
Base Score: 8.9
Threat Score: 6.3
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H
弱點資訊
CPE: p-cpe:/a:miracle:linux:resource-agents-gcp, cpe:/o:miracle:linux:8, p-cpe:/a:miracle:linux:resource-agents-paf, p-cpe:/a:miracle:linux:resource-agents, p-cpe:/a:miracle:linux:resource-agents-aliyun
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/3/6
弱點發布日期: 2026/1/7
參考資訊
CVE: CVE-2026-21441