検出

Debian DLA-2628-1 : python2.7 セキュリティ更新

medium Nessus プラグイン ID 148749

Language:

概要

リモートのDebianホストにセキュリティ更新プログラムがありません。

説明

python2.7 で 2 つのセキュリティ問題が見つかりました:

CVE-2019-16935

Python 2.7 のドキュメント XML-RPC サーバーに、server_title フィールドを使用した XSS の問題があります。これは、Python 2.x では Lib/DocXMLRPCServer.py、Python 3.x では Lib/xmlrpc/server.py で発生します。set_server_title が信頼できない入力で呼び出されると、このサーバーの http URL にアクセスするクライアントに任意の JavaScript が配信される可能性があります。

CVE-2021-23336

Python2.7 は、パラメータークローキングと呼ばれるベクトルを使用した urllib.parse.parse_qsl および urllib による Web キャッシュポイズニングに対して脆弱です。攻撃者がセミコロン (;) でクエリパラメーターを区切ることができる場合、プロキシ (デフォルトの構成で実行) とサーバーの間でリクエストの解釈に違いを引き起こすことができる可能性があります。これにより、悪意のあるリクエストが完全に安全なものとしてキャッシュされる可能性があります。これは、プロキシは通常、セミコロンを区切り文字として認識しないため、キーのないパラメーターのキャッシュキーにセミコロンを含めないためです。

**注意、API 変更! ** ソフトウェアが「urllib.parse.parse_qs」または「urllib.parse.parse_qsl」、「cgi.parse」または「cgi.parse_multipart」を使用する場合は、ソフトウェアが適切に動作していることを確認してください。

以前のバージョンの Python では、「urllib.parse.parse_qs」と「urllib.parse.parse_qsl」のクエリパラメーターセパレーターとして「;」と「&」の両方を使用できました。セキュリティの問題により、より新しい W3C の推奨に準拠するためにこれが変更され、デフォルトとして「&」を持つ単一のセパレーターキーのみが許可されるようになりました。この変更は、影響を受ける関数を内部で使用するため、「cgi.parse」および「cgi.parse_multipart」にも影響を与えます。詳細については、それぞれのドキュメントを参照してください。

Debian 9 stretch では、これらの問題はバージョン 2.7.13-2+deb9u5 で修正されています

お使いの python2.7 パッケージをアップグレードすることを推奨します。

python2.7の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/python2.7

注:Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるパッケージをアップグレードしてください。

参考資料

https://lists.debian.org/debian-lts-announce/2021/04/msg00015.html

https://packages.debian.org/source/stretch/python2.7

https://security-tracker.debian.org/tracker/source-package/python2.7

プラグインの詳細

深刻度: Medium

ID: 148749

ファイル名: debian_DLA-2628.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2021/4/19

更新日: 2024/1/12

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.0

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.4

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2019-16935

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:idle-python2.7, p-cpe:/a:debian:debian_linux:libpython2.7, p-cpe:/a:debian:debian_linux:libpython2.7-dbg, p-cpe:/a:debian:debian_linux:python2.7-dev, p-cpe:/a:debian:debian_linux:python2.7-doc, p-cpe:/a:debian:debian_linux:python2.7-examples, p-cpe:/a:debian:debian_linux:python2.7-minimal, cpe:/o:debian:debian_linux:9.0, p-cpe:/a:debian:debian_linux:libpython2.7-dev, p-cpe:/a:debian:debian_linux:libpython2.7-minimal, p-cpe:/a:debian:debian_linux:libpython2.7-stdlib, p-cpe:/a:debian:debian_linux:libpython2.7-testsuite, p-cpe:/a:debian:debian_linux:python2.7, p-cpe:/a:debian:debian_linux:python2.7-dbg

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2021/4/17

脆弱性公開日: 2019/9/28

参照情報

CVE: CVE-2019-16935, CVE-2021-23336