3.9.2 之前的 AIOHTTP 版本容易發生目錄遊走問題其允許未經驗證的攻擊者透過特製要求存取敏感檔案。

遠端 Redhat Enterprise Linux 8/9 主機上安裝的多個套件受到 RHSA-2024:1640 公告中提及的多個弱點影響。

  - golang: net/http/internal：透過 HTTP 要求透過資源消耗造成拒絕服務 (DoS) (CVE-2023-39326)

  - GitPython：盲目式本機檔案引入 (CVE-2023-41040)

  - axios：洩漏儲存在 Cookie 中的機密資料 (CVE-2023-45857)

  - python-twisted：twisted.web 中存在無序的 HTTP 工作流程回應 (CVE-2023-46137)

  - python-aiohttp：具有標頭剖析功能的 HTTP 剖析器中有多個問題 (CVE-2023-47627)

  - python-cryptography：載入 PKCS7 憑證時發生 NULL 解除參照 (CVE-2023-49083)

  - golang-fips/openssl：加密和解密 RSA 承載的程式碼中存在記憶體洩漏問題 (CVE-2024-1394)

  - jinja2：將使用者輸入作為金鑰傳遞至 xmlattr 篩選器時，發生 HTML 屬性插入攻擊 (CVE-2024-22195)

  - aiohttp：follow_symlinks 目錄遊走弱點 (CVE-2024-23334)

  - python-aiohttp：http 要求走私 (CVE-2024-23829)

  - Django：``intcomma`` 範本篩選器中存在拒絕服務弱點 (CVE-2024-24680)

  - python-django：django.utils.text.Truncator.words() 中有潛在的規則運算式拒絕服務問題 (CVE-2024-27351)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2024:1878 公告中提及的多個弱點影響。

    Red Hat Update Infrastructure (RHUI) 提供高度可擴充、高度冗餘的架構，讓您可以管理存放庫和內容。它也可讓雲端供應商將內容和更新傳送至 Red Hat Enterprise Linux (RHEL) 執行個體。

    安全性修正：

    * python-django：EmailValidator/URLValidator 中潛在的規則運算式拒絕服務弱點 (CVE-2023-36053)

    * python-aiohttp：可透過 llhttp HTTP 要求剖析器觸發的 HTTP 要求走私弱點 (CVE-2023-37276)

    * python-django：``django.utils.encoding.uri_to_iri()`` 中潛在的拒絕服務弱點。(CVE-2023-41164)

    * python-django：django.utils.text.Truncator 中可能存在拒絕服務弱點 (CVE-2023-43665)

    * python-aiohttp：具有標頭剖析功能的 HTTP 剖析器中有多個問題 (CVE-2023-47627)

    * aiohttp：HTTP 要求修改 (CVE-2023-49081)

    * python-cryptography：載入 PKCS7 憑證時發生 NULL 指標解除參照 (CVE-2023-49083)

    * jinja2：將使用者輸入作為金鑰傳遞至 xmlattr 篩選器時，發生 HTML 屬性插入攻擊 (CVE-2024-22195)

    * aiohttp：follow_symlinks 的目錄遊走弱點 (CVE-2024-23334)

    * python-ecdsa：容易受到 Minerva 攻擊 (CVE-2024-23342)

    * python-aiohttp：HTTP 要求走私弱點 (CVE-2024-23829)

    * Django：``intcomma`` 範本篩選器中的拒絕服務弱點 (CVE-2024-24680)

    * python-django：django.utils.text.Truncator.words() 中潛在的規則運算式拒絕服務問題 (CVE-2024-27351)

    * aiohttp：若使用者使用 aiohttp 用戶端控制 HTTP 方法，則會發生 CRLF 插入攻擊 (CVE-2023-49082)

    此 RHUI 更新可修復下列錯誤：

    * RHEL 8.10 Beta 中因使用 distutils 而導致的 rhui-installer 失敗問題。已更新為不使用 distutils 的新版 ansible-collection-community-crypto，以解決此問題。

    此 RHUI 更新包含下列增強功能：

    * 現可在 RHUI 安裝程式首次執行或隨時重新執行時，使用原生 Ansible 模組更新 RHUA 伺服器上的套件。在 rhui-installer 命令列上使用 --ignore-newer-rhel-packages 旗標可阻止此更新。

    * 已將 PulpCore 更新至 3.39 版。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - aiohttp 是適用於 asyncio 和 Python 的非同步 HTTP 用戶端/伺服器架構。使用 aiohttp 作為 Web 伺服器並設定靜態路由時，必須指定靜態檔案的 root 路徑。
    此外，還可以使用「follow_symlinks」選項來決定是否遵循靜態 root 目錄之外的符號連結。當 'follow_symlinks' 設為 True 時，系統不會驗證讀取的檔案是否位於 root 目錄內。這可能導致目錄遊走弱點，也就是說即使在未使用符號連結的情況下，攻擊者仍然可以未經授權存取系統上的任意檔案。
    針對此問題，建議的緩解措施是停用 follow_symlinks 並使用反向代理伺服器。3.9.2 版本修復了此問題。(CVE-2024-23334)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

遠端 Redhat Enterprise Linux 8 主機上安裝的套件受到 RHSA-2024:2010 公告中提及的多個弱點影響。

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

    安全性更新：
    * python-pygments：pygments 中的 ReDoS (CVE-2022-40896)
    * python-pycryptodomex：PyCryptodome 和 pycryptodomex 的 OAEP 解密中存在側通道洩漏弱點 (CVE-2023-52323)
    * satellite：satellite 中的算術溢位 (CVE-2023-4320)
    * automation-hub：Ansible Automation Hub：不安全的 galaxy-importer tarfile 擷取 (CVE-2023-5189)
    * jetty：不當將引號新增至 CgiServlet 中的使用者輸入 (CVE-2023-36479)
    * python-aiohttp：可透過 llhttp HTTP 要求剖析器觸發的 HTTP 要求走私弱點 (CVE-2023-37276)
    * rubygem-activesupport：本機加密檔案的檔案洩漏 (CVE-2023-38037)
    * jetty：不當驗證 HTTP/1 content-length (CVE-2023-40167)
    * python-django：`django.utils.encoding.uri_to_iri()` 中潛在的拒絕服務弱點 (CVE-2023-41164)
    * python-django：django.utils.text.Truncator 中可能存在拒絕服務弱點 (CVE-2023-43665)
    * python-aiohttp：具有標頭剖析功能的 HTTP 剖析器中有多個問題 (CVE-2023-47627)
    * python-aiohttp：HTTP 要求修改 (CVE-2023-49081)
    * python-aiohttp：若使用者使用 aiohttp 用戶端控制 HTTP 方法，則會發生 CRLF 插入攻擊 (CVE-2023-49082)
    * rubygem-puma：剖析區塊傳輸編碼內文時發生 HTTP 要求走私問題 (CVE-2024-21647)
    * rubygem-audited：爭用情形可能導致將稽核記錄錯誤地歸因於錯誤的使用者 (CVE-2024-22047)
    * python-jinja2：將使用者輸入作為金鑰傳遞至 xmlattr 篩選器時，發生 HTML 屬性插入攻擊 (CVE-2024-22195)
    * python-aiohttp：Follow_symlinks 目錄遊走弱點 (CVE-2024-23334)
    * python-aiohttp：HTTP 要求走私弱點 (CVE-2024-23829)

    其他變更：
    此更新亦可修正數個錯誤，並新增數個增強功能。

    這些變更的相關文件可從〈參照〉一節中的「版本資訊」文件連結中取得。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Debian 11 主機上安裝的多個套件受到 dla-4041 公告中提及的多個弱點影響。

    ------------------------------------------------------------------------- Debian LTS 公告 DLA-4041-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Jochen Sprickerhof 2025 年 2 月 3 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

    套件: python-aiohttp 版本: 3.7.4-1+deb11u1 CVE ID: CVE-2023-47627 CVE-2023-47641 CVE-2023-49081 CVE-2023-49082 CVE-2024-23334 CVE-2024-23829 CVE-2024-27306 CVE-2024-30251 CVE-2024-52304 Debian 錯誤:

    適用於 asyncio 和 Python 的非同步 HTTP 用戶端/伺服器架構 aiohttp 中發現多個問題。這些問題與索引頁面上的 HTTP 剖析器、連結遊走和 XSS 有關。

    CVE-2023-47627

         AIOHTTP 中的 HTTP 剖析器有數個標頭剖析問題，這些問題可導致要求走私。此剖析器只會在啟用 AIOHTTP_NO_EXTENSIONS 時或未使用預先構建的 wheel 時使用。

    CVE-2023-47641

        受影響的 aiohttp 版本存在 http 通訊協定解譯不一致的安全弱點。HTTP/1.1 是一種持續性通訊協定，當 Content-Length(CL) 和 Transfer-Encoding(TE) 標頭值同時存在時，可能導致剖析 HTTP 的兩個實體解譯錯誤，進而對其他 socket 造成影響。若要進行概念驗證 (PoC)，其中一種可行的方法是設定一個接受 CL 和 TE 標頭的反向代理伺服器作為前端，並將 aiohttp 設定為後端。由於 aiohttp 會剖析所有包含 chunked 的內容，因此我們可以將 TE 設為 chunked123，如此一來前端實體就會略過此標頭並根據 Content-Length 進行剖析。此弱點的影響在於攻擊者可以繞過任何代理伺服器規則並影響其他使用者的 socket，例如傳送驗證標頭。如果系統內存在「開放重新導向」，攻擊者還能結合其功能將隨機使用者重新導向至其他網站並記錄要求資訊。

    CVE-2023-49081

        由於驗證機制不完善，導致攻擊者能夠修改 HTTP 要求 (例如插入新標頭)，在掌握 HTTP 版本控制權時甚至可以建立新的要求。此弱點僅在攻擊者有能力控制要求的 HTTP 版本時才會產生影響。

    CVE-2023-49082

        由於驗證機制不完善，導致攻擊者能夠修改 HTTP 要求 (例如插入新標頭)，在掌握 HTTP 方法時甚至可以建立新的要求。此弱點僅在攻擊者有能力控制要求的 HTTP 方法 (GET、POST 等) 時才會產生影響。如果攻擊者可以控制要求的 HTTP 版本，則可以修改要求內容 (要求走私)。

    CVE-2024-23334

        使用 aiohttp 作為 Web 伺服器並設定靜態路由時，必須指定靜態檔案的 root 路徑。
        此外，還可以使用「follow_symlinks」選項來決定是否遵循靜態 root 目錄之外的符號連結。
        當 'follow_symlinks' 設為 True 時，系統不會驗證讀取的檔案是否位於 root 目錄內。這可能導致目錄遊走弱點，也就是說即使在未使用符號連結的情況下，攻擊者仍然可以未經授權存取系統上的任意檔案。針對此問題，建議的緩解措施是停用 follow_symlinks 並使用反向代理伺服器。

    CVE-2024-23829

        Python HTTP 剖析器的安全性敏感機制所允許的字元集存在細微差異，這些差異必須觸發錯誤處理，才能完全比對代理伺服器的訊框邊界，以防止遭人插入其他要求。此外，驗證過程中可能會觸發例外狀況，這些狀況的處理方式與其他格式錯誤的輸入不一致。若系統的驗證標準比網際網路標準更寬鬆，在特定部署環境下可能會為要求走私提供可乘之機。未處理的例外狀況可造成應用程式伺服器和/或其記錄設施過度耗用資源。

    CVE-2024-27306

        在靜態檔案處理的索引頁面上存在一個 XSS 弱點。

    CVE-2024-30251

         在受影響的版本中，攻擊者可傳送特製的 POST (多重/表單資料) 要求。當 aiohttp 伺服器處理它時，伺服器將進入無限迴圈，且無法處理任何進一步的要求。攻擊者可在傳送單一要求後，停止應用程式處理要求。

    CVE-2024-52304

        Python 剖析器並未正確剖析區塊延伸模組中的新行，這在某些情況下會導致要求走私弱點。如果已安裝 aiohttp 的純 Python 版本 (即
        未安裝常用的 C 延伸模組) 或啟用 `AIOHTTP_NO_EXTENSIONS`，則攻擊者可執行要求走私攻擊，以繞過某些防火牆或代理伺服器保護機制。

    針對 Debian 11 bullseye，已在 3.7.4-1+deb11u1 版本中修正這些問題。

    建議您升級 python-aiohttp 套件。

    如需 python-aiohttp 的詳細安全性狀態，請參閱其安全追蹤頁面：
    https://security-tracker.debian.org/tracker/python-aiohttp

    有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱: https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 簽章

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2024:1536 公告中提及的多個弱點影響。

  - Ansible Automation Hub：不安全的 galaxy-importer tarfile 擷取 (CVE-2023-5189)

  - python-django：django.utils.text.Truncator 中可能存在拒絕服務弱點。(CVE-2023-43665)

  - python-aiohttp：具有標頭剖析功能的 HTTP 剖析器中有多個問題 (CVE-2023-47627)

  - aiohttp：HTTP 要求修改 (CVE-2023-49081)

  - jinja2：將使用者輸入作為金鑰傳遞至 xmlattr 篩選器時，發生 HTML 屬性插入攻擊 (CVE-2024-22195)

  - aiohttp：follow_symlinks 目錄遊走弱點 (CVE-2024-23334)

  - python-aiohttp：http 要求走私 (CVE-2024-23829)

請注意，Nessus 並未測試這些問題，而是僅根據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
114961	AIOHTTP < 3.9.2 目錄遊走	Web App Scanning	Component Vulnerability	2025/9/12	2025/9/12	high
193086	RHEL 8/9：Red Hat Ansible Automation Platform 2.4 產品安全性和錯誤修復更新 (中等) (RHSA-2024:1640)	Nessus	Red Hat Local Security Checks	2024/4/9	2024/11/7	critical
193467	RHEL 8：RHUI 4.8 版本 - 安全性更新、錯誤修正和增強功能 (中等) (RHSA-2024:1878)	Nessus	Red Hat Local Security Checks	2024/4/18	2024/11/7	critical
253129	Linux Distros 未修補的弱點：CVE-2024-23334	Nessus	Misc.	2025/8/21	2025/10/14	high
199805	RHEL 8：Satellite 6.15.0 (重要) (RHSA-2024:2010)	Nessus	Red Hat Local Security Checks	2024/6/3	2025/3/6	high
214900	Debian dla-4041: python-aiohttp-doc - 安全性更新	Nessus	Debian Local Security Checks	2025/2/3	2025/8/18	medium
194355	RHEL 8：Satellite 6.14.3 Async Security Update (Moderate) (RHSA-2024:1536)	Nessus	Red Hat Local Security Checks	2024/4/28	2025/3/6	high

偵測

搜尋 Plugin

high

critical

critical

high

high

medium

high