偵測

Debian dla-4579 : python-authlib-doc - 安全性更新

high Nessus Plugin ID 314275

語言:

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 11 主機已安裝的套件會受到 dla-4579 公告中提及的多個弱點影響。

 ------------------------------------------------------------------------- Debian LTS 公告 DLA-4579-1 [email protected] https://www.debian.org/lts/security/Emmanuel Arias 2026 年 5 月 11 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

 套件:python-authlib 版本:0.15.4-1+deb11u2 CVE 識別碼: CVE-2026-27962 CVE-2026-28490 CVE-2026-28498

 python-authlib 是一個建置 OAuth 和 OpenID Connect 伺服器的 python 程式庫,發現三個安全性弱點,可導致繞過身份驗證或資訊洩露。

 CVE-2026-27962

 當 key=None 傳遞至 JWS 還原序列化函式時,在 jwk 標頭欄位中內嵌特製的公開金鑰,以修正繞過身份驗證和授權弱點。

 CVE-2026-28490

 Authlib 暴露了無效 PKCS#1 v1.5 填充和無效 AES-GCM 標籤之間可區分的錯誤回應,從而啟用了 Bleichenbacher 式攻擊。

 CVE-2026-28498

 修正 at_hash 和 c_hash 驗證中的 OIDC ID 權杖驗證繞過。
 當 create_half_hash() 收到未知演算法時,_verify_hash() 會靜默地傳回 True,允許偽造的 ID Token 通過驗證。

 對於 Debian 11 bullseye,這些問題已在 0.15.4-1+deb11u2 版本中修復。

 我們建議您升級 python-authlib 套件。

 有關 python-authlib 的詳細安全狀態,請參閱其安全追蹤器頁面:
 https://security-tracker.debian.org/tracker/python-authlib

 有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊,請參閱:https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 簽章

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級 python-authlib-doc 套件。

另請參閱

http://www.nessus.org/u?1ee877aa

https://security-tracker.debian.org/tracker/CVE-2026-27962

https://security-tracker.debian.org/tracker/CVE-2026-28490

https://security-tracker.debian.org/tracker/CVE-2026-28498

https://packages.debian.org/source/bullseye/python-authlib

Plugin 詳細資訊

嚴重性: High

ID: 314275

檔案名稱: debian_DLA-4579.nasl

版本: 1.1

類型: Local

代理程式: unix

已發布: 2026/5/11

已更新: 2026/5/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.0

CVSS v2

風險因素: High

基本分數: 7.8

時間性分數: 6.1

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N

CVSS 評分資料來源: CVE-2026-28498

CVSS v3

風險因素: High

基本分數: 7.5

時間性分數: 6.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

風險因素: High

Base Score: 8.3

Threat Score: 6.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N

CVSS 評分資料來源: CVE-2026-28490

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:python3-authlib, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:python-authlib-doc

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2026/5/11

弱點發布日期: 2026/3/16

參考資訊

CVE: CVE-2026-27962, CVE-2026-28490, CVE-2026-28498