Debian dla-4613 : python-aiohttp-doc - 安全性更新
high Nessus Plugin ID 318080
語言:
概要
遠端 Debian 主機上缺少一個或多個安全性更新。說明
遠端 Debian 11 主機已安裝的套件會受到 dla-4613 公告中提及的多個弱點影響。------------------------------------------------------------------------- Debian LTS 公告 DLA-4613-1 [email protected] https://www.debian.org/lts/security/Daniel Leidert 2026 年 6 月 1 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------
套件:python-aiohttp 版本:3.7.4-1+deb11u2 CVE 識別碼: CVE-2025-53643 CVE-2025-69224 CVE-2025-69225 CVE-2025-69226 CVE-2025-69227 CVE-2025-69228 CVE-2025-69229 CVE-2026-22815 CVE-2026-34513 CVE-2026-34514 CVE-2026-34516 CVE-2026-34517 CVE-2026-34518 CVE-2026-34519 CVE-2026-34520 CVE-2026-34525
在 aiohttp 中發現多個漏洞,aiohttp 是一個用於 asyncio 和 Python 的非同步 HTTP 客戶端/伺服器框架。
CVE-2025-53643
由於未剖析 HTTP 要求的預告片區段而導致的請求走私弱點。
CVE-2025-69224
HTTP 剖析器中存在非 ASCII 字元時可能發生要求走私攻擊。
CVE-2025-69225
剖析器邏輯,允許在 Range 標頭中出現非 ASCII 小數。
CVE-2025-69226
路徑遊走弱點可讓攻擊者確定路徑元件的存在。
CVE-2025-69227
處理 POST 內文時,當繞過斷言語句時,可能會發生無限迴圈,從而導致可能的 DoS 攻擊。
CVE-2025-69228
可能的 DoS 攻擊,可使用 Request.post() 耗盡記憶體,從而凍結伺服器。
CVE-2025-69229
處理區塊訊息,在接收大量區塊時,可能會導致過度封鎖 CPU 使用率。
CVE-2026-22815
由於標頭和尾部處理限制不足,導致記憶體使用量無上限。
CVE-2026-34513
過多的記憶體使用可能會因為無限的 DNS 快取而導致 DoS。
CVE-2026-34514
標頭插入。
CVE-2026-34516
具有過多多個部分標頭的回應所導致的潛在 DoS 弱點。
CVE-2026-34517
某些多部分表單欄位可能會因在檢查client_max_size之前將整體欄位讀取記憶體而造成過多的記憶體使用。
CVE-2026-34518
透過丟棄 Cookie 和 Proxy-Authorization 標頭來洩露敏感資訊 跟隨時會重新導向到不同的來源。
CVE-2026-34519
透過 reason 參數插入標頭。
CVE-2026-34520
根據 RFC 9110 檢查控制字元的標頭值,可能繞過安全性。
CVE-2026-34525
標頭可以複製,例如主機標頭。
對於 Debian 11 bullseye,這些問題已在 3.7.4-1+deb11u2 版本中修復。
建議您升級 python-aiohttp 套件。
如需 python-aiohttp 的詳細安全性狀態,請參閱其安全追蹤頁面:
https://security-tracker.debian.org/tracker/python-aiohttp
有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊,請參閱:https://wiki.debian.org/LTSAttachment:signature.ascDescription: 這是數位簽署的訊息部分
Tenable 已直接從 Debian 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級 python-aiohttp-doc 套件。另請參閱
http://www.nessus.org/u?4b73efdc
https://security-tracker.debian.org/tracker/CVE-2025-53643
https://security-tracker.debian.org/tracker/CVE-2025-69224
https://security-tracker.debian.org/tracker/CVE-2025-69225
https://security-tracker.debian.org/tracker/CVE-2025-69226
https://security-tracker.debian.org/tracker/CVE-2025-69227
https://security-tracker.debian.org/tracker/CVE-2025-69228
https://security-tracker.debian.org/tracker/CVE-2025-69229
https://security-tracker.debian.org/tracker/CVE-2026-22815
https://security-tracker.debian.org/tracker/CVE-2026-34513
https://security-tracker.debian.org/tracker/CVE-2026-34514
https://security-tracker.debian.org/tracker/CVE-2026-34516
https://security-tracker.debian.org/tracker/CVE-2026-34517
https://security-tracker.debian.org/tracker/CVE-2026-34518
https://security-tracker.debian.org/tracker/CVE-2026-34519
https://security-tracker.debian.org/tracker/CVE-2026-34520
Plugin 詳細資訊
嚴重性: High
ID: 318080
檔案名稱: debian_DLA-4613.nasl
版本: 1.1
類型: Local
代理程式: unix
已發布: 2026/6/1
已更新: 2026/6/1
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: High
基本分數: 7.8
時間性分數: 5.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS 評分資料來源: CVE-2025-53643
CVSS v3
風險因素: High
基本分數: 7.5
時間性分數: 6.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
風險因素: High
Base Score: 8.7
Threat Score: 6.6
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
CVSS 評分資料來源: CVE-2026-34516
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:python-aiohttp-doc, p-cpe:/a:debian:debian_linux:python3-aiohttp-dbg, p-cpe:/a:debian:debian_linux:python3-aiohttp, cpe:/o:debian:debian_linux:11.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/6/1
弱點發布日期: 2025/7/14
參考資訊
CVE: CVE-2025-53643, CVE-2025-69224, CVE-2025-69225, CVE-2025-69226, CVE-2025-69227, CVE-2025-69228, CVE-2025-69229, CVE-2026-22815, CVE-2026-34513, CVE-2026-34514, CVE-2026-34516, CVE-2026-34517, CVE-2026-34518, CVE-2026-34519, CVE-2026-34520, CVE-2026-34525