Mandriva Linux 安全性公告:python (MDVSA-2011:096)
medium Nessus Plugin ID 54611
語系:
概要
遠端 Mandriva Linux 主機缺少一或多個安全性更新。說明
在 python 中發現多個弱點且已修正:Python 2.5、2.6 與 3.0 之 CGIHTTPServer 模組中 CGIHTTPServer.py 的 is_cgi 方法,允許遠端攻擊者透過 URI 開頭缺少 / (斜線) 字元的 HTTP GET 要求,讀取指令碼原始程式碼 (CVE-2011-1015)。
Python urllib 和 urllib2 程式庫中發現一個瑕疵,兩者在處理自動化重新導向時,無法區分不同的目標 URL。這會造成使用這些模組的 Python 應用程式造訪其已知的任何新 URL,包括 file:// URL 類型。這可讓遠端伺服器強制本機 Python 應用程式讀取本機檔案,而非遠端檔案,因而可能造成不應洩漏的本機檔案外洩 (CVE-2011-1521)。
適用於 2009.0 的套件會隨著「延長維護計畫」提供。如需深入瞭解,請造訪這個連結:
http://store.mandriva.com/product_info.php?cPath=149 products_id=490
已修補更新版套件,以更正此問題。
解決方案
更新受影響的套件。Plugin 詳細資訊
嚴重性: Medium
ID: 54611
檔案名稱: mandriva_MDVSA-2011-096.nasl
版本: 1.12
類型: local
已發布: 2011/5/23
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.2
CVSS v2
風險因素: Medium
基本分數: 6.4
時間分數: 4.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P
弱點資訊
CPE: p-cpe:/a:mandriva:linux:lib64python2.5, p-cpe:/a:mandriva:linux:lib64python2.5-devel, p-cpe:/a:mandriva:linux:lib64python2.6, p-cpe:/a:mandriva:linux:lib64python2.6-devel, p-cpe:/a:mandriva:linux:libpython2.5, p-cpe:/a:mandriva:linux:libpython2.5-devel, p-cpe:/a:mandriva:linux:libpython2.6, p-cpe:/a:mandriva:linux:libpython2.6-devel, p-cpe:/a:mandriva:linux:python, p-cpe:/a:mandriva:linux:python-base, p-cpe:/a:mandriva:linux:python-docs, p-cpe:/a:mandriva:linux:tkinter, p-cpe:/a:mandriva:linux:tkinter-apps, cpe:/o:mandriva:linux:2009.0, cpe:/o:mandriva:linux:2010.1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2011/5/22
參考資訊
CVE: CVE-2011-1015, CVE-2011-1521
MDVSA: 2011:096