偵測

MiracleLinux 9 : fence-agents-4.10.0-98.el9_7.10 (AXBA:2026-317:06)

high Nessus Plugin ID 302744

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 9 主機已安裝受到多個弱點影響的套件如 AXBA:2026-317:06 公告中所提及。

 - urllib3 是 Python 的人性化 HTTP 用戶端程式庫。以 `ProxyManager` 使用 urllib3 的 Proxy 支援時,`Proxy-Authorization` 標頭只會如預期傳送至設定的 Proxy。
 但是,在*不*使用 urllib3 Proxy 支援的情況下傳送 HTTP 要求時,可能會意外設定 `Proxy-Authorization` 標頭,即使因為要求未使用轉送 Proxy 或通道 Proxy 而不會產生任何影響,也是如此。在這些情況下,urllib3 不會將 `Proxy-Authorization` HTTP 標頭視為攜帶驗證資料的標頭,因此不會去除跨來源重新導向的標頭。由於這是極不可能發生的狀況,因此我們認為對於幾乎所有使用者而言,此弱點的嚴重性較低。謹慎起見,urllib3 會在跨來源重新導向期間自動去除 `Proxy-Authorization` 標頭,以避免使用者意外這樣做 (雖然可能性很小)。使用者應使用 urllib3 的 proxy 支援或停用自動重新導向,以安全處理 `Proxy-Authorization` 標頭,但我們仍決定預設去除標頭,以進一步保護未使用正確方法的使用者。我們認為,受此公告影響的使用情況較少。要惡意利用此弱點,必須符合下列所有條件:1. 設定 `Proxy-Authorization` 標頭,而不使用 urllib3 的內建 proxy 支援。2. 未停用 HTTP 重新導向。3. 未使用 HTTPS 原始伺服器,或是 proxy 或目標來源重新導向至惡意來源。建議使用者更新至 1.26.19 版或 2.2.2 版。無法升級的使用者可以透過 urllib3 的 `ProxyManager` 使用 `Proxy-Authorization` 標頭、在傳送要求時使用 `redirects=False` 停用 HTTP 重新導向,或不使用 `Proxy-Authorization` 標頭作為緩解措施。(CVE-2024-37891)

 - urllib3 是 Python 的人性化 HTTP 用戶端程式庫。從 1.24 版及 2.6.0之前的版本開始解壓縮鏈結中的連結數無限制允許惡意伺服器插入幾乎無限數量的壓縮步驟導致高 CPU 使用率以及為解壓縮資料配置大量記憶體。此弱點已在 2.6.0 中修復。(CVE-2025-66418)

 - urllib3 是 Python 的人性化 HTTP 用戶端程式庫。從 1.0 版和 2.6.0之前的版本開始Streaming API 未正確處理高度壓縮的資料。 urllib3 的串流 API 設計為透過以區塊讀取內容來有效處理大型 HTTP 回應而非一次將整個回應內文載入記憶體。串流壓縮回應時urllib3 可根據 HTTP Content-Encoding 標頭 (例如gzip、deflate、br 或 zstd) 執行解碼或解壓縮。
 程式庫必須從網路讀取壓縮資料並加以解壓縮直到符合要求的區塊大小為止。所產生的任何超過要求數量的解壓縮資料都會保留在內部緩衝區中以供下次讀取作業使用。解壓縮邏輯可造成 urllib3 在單一作業中完全解碼少量高度壓縮的資料。這可導致過度消耗資源 (高 CPU 使用率以及為解壓縮資料配置大量記憶體。(CVE-2025-66471)

 - urllib3 是 Python 的 HTTP 用戶端程式庫。 urllib3 的串流 API 設計為透過以區塊讀取內容來有效處理大型 HTTP 回應而非一次將整個回應內文載入記憶體。 urllib3 可根據 HTTP `Content-Encoding` 標頭 (例如 `gzip`、`deflate`、`br` 或 `zstd`) 執行解碼或解壓縮。使用資料流 API 時程式庫只會解壓縮必要的位元組進而啟用部分內容消耗。從 1.22 版及 2.6.3版之前的版本開始針對 HTTP 重新導向回應程式庫會讀取整個回應內文以排出連線並在不必要的情況下解壓縮內容。此解壓縮情況甚至在呼叫任何讀取方法之前就已發生且已設定的讀取限制並未限制解壓縮的資料量。因此沒有針對解壓縮炸彈的防護措施。惡意伺服器可惡意利用此弱點觸髮用戶端的過度資源消耗。應用程式和程式庫在未停用重新導向的情況下設定「preload_content=False」從不受信任的來源串流內容時會受到影響。使用者應至少升級至 urllib3 v2.6.3其中程式庫在發生「preload_content=False」時不會解碼重新導向回應的內容。如果無法立即升級請針對不受信任來源的要求設定 `redirect=False` 來停用重新導向。 (CVE-2026-21441)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/23142

Plugin 詳細資訊

嚴重性: High

ID: 302744

檔案名稱: miracle_linux_AXBA-2026-317.nasl

版本: 1.1

類型: local

已發布: 2026/3/17

已更新: 2026/3/17

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

Vendor

Vendor Severity: N/a

CVSS v2

風險因素: Medium

基本分數: 6.8

時間性分數: 5.3

媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:N/A:N

CVSS 評分資料來源: CVE-2024-37891

CVSS v3

風險因素: Medium

基本分數: 6.5

時間性分數: 5.9

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

風險因素: High

Base Score: 8.9

Threat Score: 7.7

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H

CVSS 評分資料來源: CVE-2026-21441

弱點資訊

CPE: p-cpe:/a:miracle:linux:fence-agents-aliyun, p-cpe:/a:miracle:linux:fence-agents-cisco-mds, p-cpe:/a:miracle:linux:fence-agents-ibm-powervs, p-cpe:/a:miracle:linux:fence-agents-drac5, p-cpe:/a:miracle:linux:fence-agents-amt-ws, p-cpe:/a:miracle:linux:fence-agents-virsh, p-cpe:/a:miracle:linux:fence-agents-rsa, p-cpe:/a:miracle:linux:fence-agents-scsi, p-cpe:/a:miracle:linux:fence-agents-redfish, p-cpe:/a:miracle:linux:fence-agents-emerson, p-cpe:/a:miracle:linux:fence-agents-ilo-mp, p-cpe:/a:miracle:linux:fence-agents-azure-arm, p-cpe:/a:miracle:linux:fence-agents-intelmodular, p-cpe:/a:miracle:linux:fence-agents-vmware-soap, p-cpe:/a:miracle:linux:fence-virtd-serial, p-cpe:/a:miracle:linux:fence-agents-ipmilan, p-cpe:/a:miracle:linux:fence-agents-wti, p-cpe:/a:miracle:linux:fence-agents-ibmblade, p-cpe:/a:miracle:linux:fence-agents-bladecenter, p-cpe:/a:miracle:linux:fence-agents-eaton-snmp, p-cpe:/a:miracle:linux:fence-agents-ifmib, p-cpe:/a:miracle:linux:fence-agents-kubevirt, p-cpe:/a:miracle:linux:fence-virt, p-cpe:/a:miracle:linux:fence-agents-mpath, p-cpe:/a:miracle:linux:fence-agents-heuristics-ping, p-cpe:/a:miracle:linux:fence-virtd-cpg, p-cpe:/a:miracle:linux:fence-agents-hpblade, p-cpe:/a:miracle:linux:fence-agents-lpar, p-cpe:/a:miracle:linux:fence-agents-rhevm, p-cpe:/a:miracle:linux:fence-agents-ilo-moonshot, p-cpe:/a:miracle:linux:fence-agents-gce, p-cpe:/a:miracle:linux:fence-agents-cisco-ucs, p-cpe:/a:miracle:linux:fence-agents-ibm-vpc, p-cpe:/a:miracle:linux:fence-agents-apc-snmp, p-cpe:/a:miracle:linux:fence-agents-eps, p-cpe:/a:miracle:linux:fence-agents-aws, p-cpe:/a:miracle:linux:fence-agents-vmware-rest, p-cpe:/a:miracle:linux:ha-cloud-support, p-cpe:/a:miracle:linux:fence-agents-ilo-ssh, p-cpe:/a:miracle:linux:fence-agents-ipdu, p-cpe:/a:miracle:linux:fence-agents-sbd, p-cpe:/a:miracle:linux:fence-virtd-tcp, cpe:/o:miracle:linux:9, p-cpe:/a:miracle:linux:fence-agents-all, p-cpe:/a:miracle:linux:fence-agents-openstack, p-cpe:/a:miracle:linux:fence-virtd-multicast, p-cpe:/a:miracle:linux:fence-agents-kdump, p-cpe:/a:miracle:linux:fence-agents-common, p-cpe:/a:miracle:linux:fence-virtd, p-cpe:/a:miracle:linux:fence-virtd-libvirt, p-cpe:/a:miracle:linux:fence-agents-nutanix-ahv, p-cpe:/a:miracle:linux:fence-agents-ilo2, p-cpe:/a:miracle:linux:fence-agents-brocade, p-cpe:/a:miracle:linux:fence-agents-compute, p-cpe:/a:miracle:linux:fence-agents-rsb, p-cpe:/a:miracle:linux:fence-agents-apc

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2026/3/17

弱點發布日期: 2024/6/17

參考資訊

CVE: CVE-2024-37891, CVE-2025-66418, CVE-2025-66471, CVE-2026-21441