検出

SUSE SLES12セキュリティ更新プログラム:python-aws-sam-transulator、python-boto3、python-botocore、python-cfn-lint、python-jsonschema、python-nose2、python-parameterized、python-pathlib2、python-pytest-cov、python-requests、python- s3transfer(SUSE-SU-2020:0555-1)

high Nessus プラグイン ID 134285

Language:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

このpython-aws-sam-translator、python-boto3、python-botocore、python-cfn-lint、python-jsonschema、python-nose2、python-parameterized、python-pathlib2、python-pytest-cov、python-requests、python-s3transfer、python-jsonpatch、python-jsonpointer、python-scandir、python-PyYAMLの更新では、次の問題を修正します:

python-cfn-lintが新しいパッケージとして0.21.4に含まれました。

python-aws-sam-translatorが1.11.0に更新しました :

 - ReservedConcurrentExecutionsをグローバルに追加します

 - ElasticsearchHttpPostPolicyリソース参照を修正します

 - RefとSubでのAWS::Regionの使用をサポートします

 - ドキュメントと例の更新

 - Serverless::FunctionにVersionDescriptionプロパティを追加します

 - ServerlessRepoReadWriteAccessPolicyを更新します

 - 新しいテンプレート検証を追加します

1.10.0へのアップグレード:

 - GSIをDynamoDBReadPolicyとDynamicmoDBCrudPolicyに追加します

 - DynamicBreconfigurePolicyを追加します

 - CostExplorerReadOnlyPolicyとOrganizationsListAccountsPolicyを追加します

 - EKSDescribePolicyを追加します

 - SESBulkTemplatedCrudPolicyを追加します

 - FilterLogEventsPolicyを追加します

 - SSMParameterReadPolicyを追加します

 - SESEmailTemplateCrudPolicyを追加します

 - s3:PutObjectAclをS3CrudPolicyを追加します

 - allow_credentials CORSオプションを追加します

 - AccessLogSettingとCanarySetting Serverless::Apiプロパティのサポートを追加します

 - Serverless::ApiにX線のサポートを追加します

 - Serverless::Apiに

 - AuthをServerless::Apiグローバルに追加します

 - APIGW権限から末尾のスラッシュを削除します

 - SNS FilterPolicyとサンプルアプリケーションを追加します

 - EnabledプロパティをServerless::Functionイベントソースに追加します

 - Serverless::Functionに

 - boto3クライアントの初期化を修正します

 - PublicAccessBlockConfigurationプロパティをS3バケットリソースに追加します

 - PAY_PER_REQUESTをServerless::SimpleTableのデフォルトモードにします

 - Serverless::LayerVersionに組み込みを解決するための限定されたサポートを追加します

 - SAMでFlake8が使用されるようになりました

 - Goで書かれたS3イベントのサンプルアプリケーションを追加します

 - いくつかのサンプルアプリケーションを更新しました

初回ビルド

 + バージョン1.9.0

setuptoolsのバージョンが古すぎるため、SLES12に必要な、setup.pyから互換性のあるリリースオペレーターをドロップするためのパッチを追加します

 + ast_drop-compatible-releases-operator.patch

python-jsonschemaが2.6.0に更新しました :参照解決を中心としてキャッシングを追加することでCPythonのパフォーマンスを改善しました

バージョン2.5.0への更新:参照解決を中心としてキャッシングを追加することでCPythonのパフォーマンスを改善しました(#203)

バージョン2.4.0への更新:CLIを追加しました(#134)

絶対パスと絶対スキーマパスをエラーに追加しました(#120)

「relevance」を追加しました

メタスキーマが「pkgutil」経由でロードされるようになりました

「by_relevance」と「best_match」を追加しました(#91)

非文字列の形式を追加できるように「format」を修正しました(#125)

URI参照を拒否するように「uri」形式を修正しました(#131)

update-alternativesのサポートと一緒に/usr/bin/jsonschemaをインストールします

python-nose2が0.9.1に更新しました :profプラグインがプロファイリングにhotshotの代わりにcProfileを使用するようになりました

スキップされたテストに、junit XMLのメッセージフィールド内のユーザーの理由が含まれるようになりました

prettyassertプラグインは、複数行の関数の定義を間違って処理していました

configを介してプラグインがすでに有効になっているときにプラグインのCLIフラグを使用してもエラーが発生しなくなりました

--pretty-assertで有効にされたnose2.plugins.prettyassert

EOLed pythonバージョン用のクリーンアップコード

distutilsのサポートを終了しました。

結果レポーターが、他のプラグインによって設定された失敗ステータスを優先します

JUnit XMLプラグインの出力にスキップの理由が含まれるようになりました

0.8.0へのアップグレード:

変更のリストが長すぎでここに掲載することができません。0.6.5と0.8.0の違いについては、https://github.com/nose-devs/nose2/blob/master/docs/changelog.rstを参照してください

0.7.0 に更新:テストクラス全体をパラメーター化するためのparameterized_class機能を追加しました(提案と支援テストに対して@TobyLLに感謝の意を表します!)

「inspect.getargs」上のDeprecationWarningを修正します(@brettdhに感謝の意を表します。
https://github.com/wolever/parameterized/issues/67)

「setUp」メソッドと「tearDown」メソッドが正しく動作することを確認します(#40)

入力が空のときにValueErrorを発生させます(@danielbradburnに感謝の意を表します。
https://github.com/wolever/parameterized/pull/48)

ケースの数が10を超えたときの順序を修正します(@ntflcに感謝の意を表します。
https://github.com/wolever/parameterized/pull/49)

python-scandirがバージョン2.3.2に含まれました。

python-requestsがバージョン2.20.1に更新しました (bsc#1111622)デフォルトポート(http/80、https/443)を使用したリダイレクト用の意図しないAuthorizationヘッダーストリッピングに伴うバグを修正しました。

urllib3の制限を削除します

バージョン2.20.0への更新:バグ修正

 + Content-Typeヘッダーの解析で大文字と小文字が区別されなくなりました(charset=utf8とCharset=utf8など)。

 + 特定のリダイレクトURLが捕捉されないurllib3例外を発生させる例外漏洩を修正しました。

 + Requestsでは、同じホスト名でhttpsからhttpにリダイレクトされるリクエストからAuthorizationヘッダーが削除されます。
 (CVE-2018-18074)

 + should_bypass_proxiesで、ホスト名のないURI(ファイルなど)が処理されるようになりました。

依存関係

 + Requestsで、urllib3 v1.24がサポートされるようになりました。

廃止

 + Requestsで、Python 2.6のサポートが正式に停止されました。

バージョン2.19.1への更新:status_codes.pyのinit関数が__doc__にNoneの値を追加しようとして失敗する問題を修正しました。

次のバージョンへの更新: 2.19.0:改善

 + 暗号化バージョンを使用した場合にスローダウンする可能性について警告します

バグ修正

 + parse_header_links()で空のLinkヘッダーを解析しても、1つの偽造エントリを返さなくなりました。

 + zipアーカイブからデフォルトの証明書バンドルをロードするとIOErrorが発生する問題を修正しました。

 + winregモジュールをサポートしていないWindowsシステム上の予期せぬImportErrorに伴う問題を修正しました。

 + プロキシバイパスでのDNS解決で、リクエストにユーザー名とパスワードが含まれなくなりました。これは、macOS上でDNSクエリが失敗する問題も修正します。

 + url比較用のアダプタープレフィックスを正しく正規化します。

 + Noneをファイルポインターとしてfilesパラメーターに渡しても、例外が発生しなくなりました。

 + RequestsCookieJar上でcopyを呼び出したときに、Cookieポリシーが正しく保存されるようになりました。

idna v2.7とurllib3 v1.23がサポートされるようになりました。

バージョン2.18.4への更新:改善

 + 無効なヘッダーに関するエラーメッセージに、デバッグを容易にするためのヘッダー名が含まれるようになりました

依存関係

 + idna v2.6がサポートされるようになりました。

バージョン2.18.3への更新:改善

 + $ python -m requests.helpの実行に、インストールされているidnaのバージョンが含まれるようになりました。

バグ修正

 + urllib3 v1.22の使用時にSSLの問題が発生した際に、RequestsでSSLErrorの代わりにConnectionErrorが発生する問題を修正しました。

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。

別の方法として、製品にリストされているコマンドを実行することができます:

SUSE OpenStack Cloud Crowbar 8:zypper in -t patch SUSE-OpenStack-Cloud-Crowbar-8-2020-555=1

SUSE OpenStack Cloud 8:zypper in -t patch SUSE-OpenStack-Cloud-8-2020-555=1

SUSE OpenStack Cloud 7:zypper in -t patch SUSE-OpenStack-Cloud-7-2020-555=1

SUSE Manager Tools 12:zypper in -t patch SUSE-SLE-Manager-Tools-12-2020-555=1

SUSE Manager Server 3.2:zypper in -tパッチSUSE-SUSE-Manager-Server-3。2-2020-555=1

SUSE Manager Proxy 3.2:zypper in -tパッチSUSE-SUSE-Manager-Proxy-3。2-2020-555=1

SUSE Linux Enterprise Server for SAP 12-SP3:zypper in -t patch SUSE-SLE-SAP-12-SP3-2020-555=1

SUSE Linux Enterprise Server for SAP 12-SP2:zypper in -t patch SUSE-SLE-SAP-12-SP2-2020-555=1

SUSE Linux Enterprise Server for SAP 12-SP1:zypper in -t patch SUSE-SLE-SAP-12-SP1-2020-555=1

SUSE Linux Enterprise Server 12-SP5:zypper in -t patch SUSE-SLE-SERVER-12-SP5-2020-555=1

SUSE Linux Enterprise Server 12-SP4:zypper in -t patch SUSE-SLE-SERVER-12-SP4-2020-555=1

SUSE Linux Enterprise Server 12-SP3-LTSS:zypper in -t patch SUSE-SLE-SERVER-12-SP3-2020-555=1

SUSE Linux Enterprise Server 12-SP3-BCL:zypper in -t patch SUSE-SLE-SERVER-12-SP3-BCL-2020-555=1

SUSE Linux Enterprise Server 12-SP2-LTSS:zypper in -t patch SUSE-SLE-SERVER-12-SP2-2020-555=1

SUSE Linux Enterprise Server 12-SP2-BCL:zypper in -t patch SUSE-SLE-SERVER-12-SP2-BCL-2020-555=1

SUSE Linux Enterprise Server 12-SP1-LTSS:zypper in -t patch SUSE-SLE-SERVER-12-SP1-2020-555=1

SUSE Linux Enterprise Point of Sale 12-SP2:zypper in -t patch SUSE-SLE-POS-12-SP2-2020-555=1

Public Cloud 12向けSUSE Linux Enterprise Module:zypper in -t patch SUSE-SLE-Module-Public-Cloud-12-2020-555=1

SUSE Linux Enterprise Module for Containers 12:zypper in -t patch SUSE-SLE-Module-Containers-12-2020-555=1

SUSE Linux Enterprise Module for Advanced Systems Management 12:zypper in -t patch SUSE-SLE-Module-Adv-Systems-Management-12-2020-555=1

SUSE Linux Enterprise High Availability 12-SP5:zypper in -t patch SUSE-SLE-HA-12-SP5-2020-555=1

SUSE Linux Enterprise High Availability 12-SP2:zypper in -t patch SUSE-SLE-HA-12-SP2-2020-555=1

SUSE Linux Enterprise High Availability 12-SP1:zypper in -t patch SUSE-SLE-HA-12-SP1-2020-555=1

SUSE Enterprise Storage 5:zypper in -t patch SUSE-Storage-5-2020-555=1

SUSE CaaS Platform 3.0:

この更新プログラムをインストールするには、SUSE CaaS Platform Velumダッシュボードを使用してください。新しい更新を検出した場合は通知され、その後、制御された方法でクラスター全体の更新をトリガーできます。

HPE Helion Openstack 8:zypper in -t patch HPE-Helion-OpenStack-8-2020-555=1

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=1111622

https://bugzilla.suse.com/show_bug.cgi?id=1122668

https://github.com/nose-devs/nose2/blob/master/docs/changelog.rst

https://github.com/wolever/parameterized/issues/67

https://github.com/wolever/parameterized/pull/48

https://github.com/wolever/parameterized/pull/49

https://www.suse.com/security/cve/CVE-2018-18074/

http://www.nessus.org/u?b256b511

プラグインの詳細

深刻度: High

ID: 134285

ファイル名: suse_SU-2020-0555-1.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2020/3/6

更新日: 2024/3/25

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2018-18074

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:python-pyyaml, p-cpe:/a:novell:suse_linux:python-pyyaml-debuginfo, p-cpe:/a:novell:suse_linux:python-pyyaml-debugsource, p-cpe:/a:novell:suse_linux:python3-pyyaml, cpe:/o:novell:suse_linux:12

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/3/2

脆弱性公開日: 2018/10/9

参照情報

CVE: CVE-2018-18074