検出

Fedora 28:python-cryptography / python-cryptography-vectors(2018-a9fe5e183e)

high Nessus プラグイン ID 120693

Language:

概要

リモートのFedoraホストに1つ以上のセキュリティ更新プログラムがありません。

説明

#新しいUpstreamリリース2.3

AEAD APIの潜在的なタグ切り捨てセキュリティバグを修正します。 RHBZ#1602752を参照してください

## 2.3 - 2018-07-18

 - セキュリティ問題:finalize_with_tag()はデフォルトでタグの切り捨てを許可していました。これにより、場合によってはタグの偽造が可能になることがあります。このメソッドは、GCMコンストラクターに提供されたmin_tag_lengthを実施するようになりました。

 - Python 3.7のサポートを追加しました。

 - extract_timestamp()を追加して、Fernetトークンの認証されたタイムスタンプを取得しました。

 - hmac.compare_digestなしのPython 2.7.xのサポートは廃止されました。次の暗号化リリースでは、Python 2.7.7以降( Ubuntuでは2.7.6)が必要になります。

 - 暗号がLibreSSL 2.7.xに対してコンパイルできないという複数の問題を修正しました 。

 - CRLでのシリアル番号のクイック検索のために、get_revoked_certificate_by_serial_numberを追加しました。

 - RelativeDistinguishedNameクラスが、属性の順序を保持するようになりました。重複属性が、重複をサイレントに破棄する代わりにエラーを発生させるようになりました。

 - aes_key_unwrap()およびaes_key_unwrap_with_padding()は、ラップされたキーが無効な長さの場合、ValueErrorではなく、InvalidUnwrapを発生させるようになりました。

注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受ける python-cryptography および/または python-cryptography-vectors パッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2018-a9fe5e183e

プラグインの詳細

深刻度: High

ID: 120693

ファイル名: fedora_2018-a9fe5e183e.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2019/1/3

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:python-cryptography-vectors, cpe:/o:fedoraproject:fedora:28, p-cpe:/a:fedoraproject:fedora:python-cryptography

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2018/7/22

脆弱性公開日: 2018/7/22

参照情報