Amazon Linux AMI:python34(ALAS-2019-1324)

critical Nessus プラグイン ID 131244
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。

説明

d537ab0ff9767ef024f26246899728f0116b1ec3をコミットした後、pythonでCVE-2019-9636のセキュリティリグレッションが見つかりました。これにより、攻撃者は依然としてURLのユーザー部分とパスワード部分を濫用することでCVE-2019-9636を悪用する可能性があります。アプリケーションがCookie、認証資格情報、またはその他の種類の情報を格納するためにユーザー指定のURLを解析するとき、攻撃者が特別に細工したURLを提供してアプリケーションにホスト関連情報(Cookie、認証データなど)を見つけさせて送信させる可能性があります。URLが正しく解析されている場合とは異なり、それらは本来の場所とは異なるホストに転送されます。攻撃の結果はアプリケーションによって異なります。(CVE-2019-10160)2.7.16までのPython 2.xのurllib2および3.7.3までのPython 3.xのurllibに問題が発見されました。urllib.request.urlopenの最初の引数が(特に?の後のクエリ文字列において)\r\nを指定しHTTPヘッダーまたはRedisコマンドが後に続く場合に示されるように、攻撃者がurlパラメーターを制御するとCRLFインジェクションが可能になります。(CVE-2019-9740)2.7.16までのPython 2.xのurllibはlocal_file:スキームをサポートしています。これにより、urllib.urlopen('local_file:///etc/passwd')呼び出しをトリガーすることによって示されるように、リモートの攻撃者はfile: URIをブラックリストに載せる保護メカニズムをバイパスすることがより簡単になります。(CVE-2019-9948)2.7.16までのPython 2.xのurllib2および3.7.3までのPython 3.xのurllibに問題が発見されました。urllib.request.urlopenの最初の引数が(特に?がないURLのパスコンポーネントにおいて)\r\nを指定しHTTPヘッダーまたはRedisコマンドが後に続く場合に示されるように、攻撃者がurlパラメーターを制御するとCRLFインジェクションが可能になります。これは、CVE-2019-9740クエリ文字列の問題と似ています。(CVE-2019-9947)2.7.16まで、3.5.7までの3.x、3.6.9までの3.6.x、3.7.4までの3.7.xのPythonで問題が見つかりました。電子メールモジュールが、複数の「@」文字を含むメールアドレスを不適切に解析します。この電子メールモジュールを使用し、メッセージのFrom/Toヘッダーにある種のチェックを実装しているアプリケーションは、拒否すべきメールアドレスを受け入れるよう誘導される可能性があります。攻撃はCVE-2019-11340にあるものと同じ可能性があります。ただし、このCVEはより広くPythonに該当します。(CVE-2019-16056)2.7.16までのPython 2.7.xと3.7.2までの3.xは以下の影響を受けます。NFKC正規化中のUnicodeエンコード(誤ったnetlocを使用)の不適切な処理。影響は次のとおりです。情報漏えい(特定のホスト名に対してキャッシュされている資格情報やCookieなど)。コンポーネントは、urllib.parse.urlsplit、urllib.parse.urlparseです。攻撃ベクトルは次のとおりです。特別に細工されたURLが誤って解析されてCookieまたは認証データの場所を特定し、その情報が正しく解析されたときとは異なるホストに送信される可能性があります。(CVE-2019-9636)

ソリューション

「yum update python34」を実行してシステムを更新してください。

関連情報

https://alas.aws.amazon.com/ALAS-2019-1324.html

プラグインの詳細

深刻度: Critical

ID: 131244

ファイル名: ala_ALAS-2019-1324.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2019/11/25

更新日: 2019/12/9

依存関係: ssh_get_info.nasl

リスク情報

CVSS スコアのソース: CVE-2019-9948

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: Medium

Base Score: 6.4

Temporal Score: 4.7

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Critical

Base Score: 9.1

Temporal Score: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:amazon:linux:python34, p-cpe:/a:amazon:linux:python34-debuginfo, p-cpe:/a:amazon:linux:python34-devel, p-cpe:/a:amazon:linux:python34-libs, p-cpe:/a:amazon:linux:python34-test, p-cpe:/a:amazon:linux:python34-tools, cpe:/o:amazon:linux

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/11/22

脆弱性公開日: 2019/3/8

参照情報

CVE: CVE-2019-10160, CVE-2019-16056, CVE-2019-9636, CVE-2019-9740, CVE-2019-9947, CVE-2019-9948

ALAS: 2019-1324