Mandriva Linux 安全性公告:python (MDVSA-2012:097)
medium Nessus Plugin ID 61956
語系:
概要
遠端 Mandriva Linux 主機缺少一或多個安全性更新。說明
在 python 中發現多個弱點且已更正:_ssl 模組總是會停用 CBC IV 攻擊對策 (CVE-2011-3389)。
在 Python distutils 模組於建立.pypirc 檔案期間設定檔案權限的方式中發現爭用情形。如果本機使用者能夠存取執行 distutils 之其他使用者的主目錄,他們可利用此瑕疵取得該使用者之 .pypirc 檔案的存取權,其中可能包含程式碼存放庫的使用者名稱與密碼 (CVE-2011-4944)。
在 Python SimpleXMLRPCServer 模組處理提前中斷連線的用戶端的方式中發現一個瑕疵。遠端攻擊者可利用此瑕疵導致使用 SimpleXMLRPCServer 的伺服器消耗過量 CPU (CVE-2012-0845)。
內嵌 expat 副本的雜湊表衝突 CPU 使用率 DoS (CVE-2012-0876)。
在 Python 的關聯陣列 (字典) 實作中,發現一個拒絕服務瑕疵。將資料插入陣列時,攻擊者若能對 Python 應用程式提供大量輸入 (例如,傳送至網路應用程式的 HTTP POST 要求參數) 作為金鑰使用,便可觸發多個雜湊函式衝突,使陣列作業耗用大量 CPU 時間。為了減輕此問題,已將隨機化新增至雜湊函式以降低攻擊者成功引發有意衝突的機會 (CVE-2012-1150)。
已修補更新版套件,以更正這些問題。
解決方案
更新受影響的套件。Plugin 詳細資訊
嚴重性: Medium
ID: 61956
檔案名稱: mandriva_MDVSA-2012-097.nasl
版本: 1.14
類型: local
已發布: 2012/9/6
已更新: 2022/12/5
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.7
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
弱點資訊
CPE: p-cpe:/a:mandriva:linux:python-docs, p-cpe:/a:mandriva:linux:tkinter, p-cpe:/a:mandriva:linux:tkinter-apps, cpe:/o:mandriva:linux:2011, p-cpe:/a:mandriva:linux:lib64python-devel, p-cpe:/a:mandriva:linux:lib64python2.7, p-cpe:/a:mandriva:linux:libpython-devel, p-cpe:/a:mandriva:linux:libpython2.7, p-cpe:/a:mandriva:linux:python
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2012/6/20
參考資訊
CVE: CVE-2011-3389, CVE-2011-4944, CVE-2012-0845, CVE-2012-0876, CVE-2012-1150
BID: 49778, 51239, 51996, 52379, 52732
MDVSA: 2012:097