openSUSEセキュリティ更新プログラム:python3(openSUSE-2020-2333)

critical Nessus プラグイン ID 145389

言語:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このpython3用更新プログラムでは、以下の問題を修正します。修正されたセキュリティ問題:

- Lib/test/multibytecodec_supportがHTTP経由で取得したコンテンツに対してeval()を呼び出す、CVE-2020-27619(bsc#1178009)を修正しました。

- 新しいホイールに応じてsetuptoolsとpipのバージョン番号を変更します

- python36がSLE15およびSLE12と互換性を持つようにするためのわずかな変更(jsc#ECO-2799、jsc#SLE-13738)

- mips-r6およびriscv用のトリプレットを追加

- RISC-VにはCTYPES_PASS_BY_REF_HACKが必要

3.6.12に更新(bsc#1179193)

- Pythonが埋め込まれる際に、python3.dllが正しい場所からロードされるようにします。

- ipaddress.IPv4Interfaceおよびipaddress.IPv6Interfaceの__hash__()メソッドが、それぞれ32および128の定数ハッシュ値を不適切に生成していました。これにより、常にハッシュ衝突が発生していました。修正は、hash()を使用して、(アドレス、マスク長、ネットワークアドレス)のタプルのハッシュ値を生成します。

- http.client.putrequest(...)で制御文字を拒否することで、httpヘッダーインジェクションを防止します。

- Cの実装で無効なNEWOBJ_EXオペコードを非Pickle化すると、クラッシュする代わりにUnpicklingErrorが発生するようになりました。

- tarfileモジュールを使用して特別に細工されたTARファイルを読み込む際に、無限ループを回避します

- このリリースは次も修正します: CVE-2020-26116(bsc#1177211)およびCVE-2019-20907(bsc#1174091)。

3.6.11への更新:

- ヘッダーインジェクション攻撃から保護するために、email.headerregistry. Address引数でCRまたはLFを許可しません。

- http.clientのホスト名で制御文字を許可しないことにより、CVE-2019-18348に対処します。このような悪意のあるヘッダーインジェクションのURLにより、InvalidURLが引き起こされるようになりました。(bsc#1155094)

- CVE-2020-8492:urllib.requestモジュールのAbstractBasicAuthHandlerクラスが非効率的な正規表現を使用しており、攻撃者がこれを悪用してサービス拒否を引き起こす可能性があります。壊滅的なバックトラックを防ぐために正規表現を修正します。Ben Caller氏およびMatt Schwager氏により報告された脆弱性。

この更新はSUSEからインポートされました:SLE-15: 更新プロジェクトを更新します。

ソリューション

影響を受けるpython3パッケージを更新してください。

関連情報

https://bugzilla.opensuse.org/show_bug.cgi?id=1155094

https://bugzilla.opensuse.org/show_bug.cgi?id=1174091

https://bugzilla.opensuse.org/show_bug.cgi?id=1174571

https://bugzilla.opensuse.org/show_bug.cgi?id=1174701

https://bugzilla.opensuse.org/show_bug.cgi?id=1177211

https://bugzilla.opensuse.org/show_bug.cgi?id=1178009

https://bugzilla.opensuse.org/show_bug.cgi?id=1179193

https://bugzilla.opensuse.org/show_bug.cgi?id=1179630

プラグインの詳細

深刻度: Critical

ID: 145389

ファイル名: openSUSE-2020-2333.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2021/1/25

更新日: 2021/7/14

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libpython3_6m1_0, p-cpe:/a:novell:opensuse:libpython3_6m1_0-32bit, p-cpe:/a:novell:opensuse:libpython3_6m1_0-32bit-debuginfo, p-cpe:/a:novell:opensuse:libpython3_6m1_0-debuginfo, p-cpe:/a:novell:opensuse:python3, p-cpe:/a:novell:opensuse:python3-32bit, p-cpe:/a:novell:opensuse:python3-32bit-debuginfo, p-cpe:/a:novell:opensuse:python3-base, p-cpe:/a:novell:opensuse:python3-base-32bit, p-cpe:/a:novell:opensuse:python3-base-32bit-debuginfo, p-cpe:/a:novell:opensuse:python3-base-debuginfo, p-cpe:/a:novell:opensuse:python3-core-debugsource, p-cpe:/a:novell:opensuse:python3-curses, p-cpe:/a:novell:opensuse:python3-curses-debuginfo, p-cpe:/a:novell:opensuse:python3-dbm, p-cpe:/a:novell:opensuse:python3-dbm-debuginfo, p-cpe:/a:novell:opensuse:python3-debuginfo, p-cpe:/a:novell:opensuse:python3-debugsource, p-cpe:/a:novell:opensuse:python3-devel, p-cpe:/a:novell:opensuse:python3-devel-debuginfo, p-cpe:/a:novell:opensuse:python3-doc-devhelp, p-cpe:/a:novell:opensuse:python3-idle, p-cpe:/a:novell:opensuse:python3-testsuite, p-cpe:/a:novell:opensuse:python3-testsuite-debuginfo, p-cpe:/a:novell:opensuse:python3-tk, p-cpe:/a:novell:opensuse:python3-tk-debuginfo, p-cpe:/a:novell:opensuse:python3-tools, cpe:/o:novell:opensuse:15.1

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/12/29

脆弱性公開日: 2019/9/28

参照情報

CVE: CVE-2019-16935, CVE-2019-18348, CVE-2019-20907, CVE-2019-5010, CVE-2020-14422, CVE-2020-26116, CVE-2020-27619, CVE-2020-8492