Mandriva Linux 安全性公告:python (MDVSA-2012:097)

medium Nessus Plugin ID 61956
新推出!弱點優先順序評分 (VPR)

Tenable 會為每個弱點計算動態 VPR。VPR 將弱點資訊與威脅情報和機器學習演算法加以結合,藉此預測攻擊者最有可能利用哪些弱點發動攻擊。查看詳細資訊: VPR 是什麼?它跟 CVSS 有何不同?

VPR 評分: 4.7

Synopsis

遠端 Mandriva Linux 主機缺少一或多個安全性更新。

描述

在 python 中發現多個弱點且已更正:

_ssl 模組總是會停用 CBC IV 攻擊對策 (CVE-2011-3389)。

在 Python distutils 模組於建立.pypirc 檔案期間設定檔案權限的方式中發現爭用情形。如果本機使用者能夠存取執行 distutils 之其他使用者的主目錄,他們可利用此瑕疵取得該使用者之 .pypirc 檔案的存取權,其中可能包含程式碼存放庫的使用者名稱與密碼 (CVE-2011-4944)。

在 Python SimpleXMLRPCServer 模組處理提前中斷連線的用戶端的方式中發現一個瑕疵。遠端攻擊者可利用此瑕疵導致使用 SimpleXMLRPCServer 的伺服器消耗過量 CPU (CVE-2012-0845)。

內嵌 expat 副本的雜湊表衝突 CPU 使用率 DoS (CVE-2012-0876)。

在 Python 的關聯陣列 (字典) 實作中,發現一個拒絕服務瑕疵。將資料插入陣列時,攻擊者若能對 Python 應用程式提供大量輸入 (例如,傳送至網路應用程式的 HTTP POST 要求參數) 作為金鑰使用,便可觸發多個雜湊函式衝突,使陣列作業耗用大量 CPU 時間。為了減輕此問題,已將隨機化新增至雜湊函式以降低攻擊者成功引發有意衝突的機會 (CVE-2012-1150)。

已修補更新版套件,以更正這些問題。

解決方案

更新受影響的套件。

Plugin 詳細資訊

嚴重性: Medium

ID: 61956

檔案名稱: mandriva_MDVSA-2012-097.nasl

版本: 1.13

類型: local

已發布: 2012/9/6

已更新: 2021/1/6

相依性: ssh_get_info.nasl

風險資訊

風險因素: Medium

VPR 評分: 4.7

CVSS v2.0

基本分數: 5

時間分數: 3.7

媒介: AV:N/AC:L/Au:N/C:N/I:N/A:P

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:mandriva:linux:lib64python-devel, p-cpe:/a:mandriva:linux:lib64python2.7, p-cpe:/a:mandriva:linux:libpython-devel, p-cpe:/a:mandriva:linux:libpython2.7, p-cpe:/a:mandriva:linux:python, p-cpe:/a:mandriva:linux:python-docs, p-cpe:/a:mandriva:linux:tkinter, p-cpe:/a:mandriva:linux:tkinter-apps, cpe:/o:mandriva:linux:2011

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2012/6/20

參考資訊

CVE: CVE-2011-3389, CVE-2011-4944, CVE-2012-0845, CVE-2012-0876, CVE-2012-1150

BID: 49778, 51239, 51996, 52379, 52732

MDVSA: 2012:097