検出

openSUSE セキュリティ更新プログラム: python-httplib2 (openSUSE-2021-772)

medium Nessus プラグイン ID 149881

Language:

概要

リモートの openSUSE ホストに、セキュリティ更新プログラムがありません。

説明

この python-httplib2 用の更新プログラムでは、次の問題が修正されています。

この更新には、セキュリティ修正が含まれます。

 - CVE-2021-21240: 悪意のあるヘッダーによる正規表現のサービス拒否を修正しました (bsc#1182053)。

 - CVE-2020-11078: 攻撃者がリクエストヘッダーと本文を変更する可能性がある問題を修正しました (bsc#1171998)。

この更新には、非セキュリティの修正が含まれています。

 - SLE の 0.19.0 への更新 (bsc#1182053、CVE-2021-21240)

 - 0.19.0 への更新:

 - auth: regexp の代わりに pyparsing を使用してヘッダーを解析します

 - auth: WSSE トークンはバイトではなく文字列である必要があります

 - 0.18.1への更新: (bsc#1171998、CVE-2020-11078)

 - pip ビルド分離バグの明示的なビルドバックエンドの回避策

 - 重要なセキュリティの脆弱性 CWE-93 CRLF インジェクション URI でのスペース、CR、LF 文字の %xx 引用を強制します。

 - ソースディストリビューションのテストスイートを出荷します

 - 0.17.1 への更新

 - python3: no_proxy が https でチェックされていませんでした

 - 機能: Http().redirect_codes が設定され、follow(_all) _redirects チェック後に機能します。これにより、リダイレクトのセマンティクスなしで 308 応答を使用する古い gcloud ライブラリに対して、1 行の回避策が可能になります。

 - 重要なキャッシュ無効化の変更、307 keep メソッドの修正、308 リダイレクトの追加

 - proxy: pysocks と互換性のある str としてのユーザー名 / パスワード

 - python2: connect() エラー処理の回帰

 - パスワード保護された証明書ファイルのサポートを追加します

 - 機能: Http.close() による永続的な接続と機密データの消去

 - 0.14.0 に更新します:

 - Python3: str user/pass を伴う PROXY_TYPE_SOCKS5 により TypeError が発生しました

 - 0.13.1 0.13.1 へのバージョン更新

 - Python3: no_proxy https://github.com/httplib2/httplib2/pull/140 0.13.0 を使用します

- TLS の最大 / 最小バージョン https://github.com/httplib2/httplib2/pull/138 0.12.3 の設定を許可します

 - ライブラリに変更はありません。py3 ホイールを配布します。 0.12.1

 - ソケットタイムアウトをキャッチし、デッド接続をクリアします https://github.com/httplib2/httplib2/issues/18 https://github.com/httplib2/httplib2/pull/111

 - Python 3.7 を公式にサポート ( パッケージのメタデータ) https://github.com/httplib2/httplib2/issues/123 0.12.0

 - Python 3.3 のサポートをドロップします

 - 環境 HTTPLIB2_CA_CERTS または certifi https://github.com/httplib2/httplib2/pull/117 からの ca_certs

 - 空でないユーザー / パスを持つ PROXY_TYPE_HTTP が必要な TypeError: バイトを増大させました https://github.com/httplib2/httplib2/pull/115

 - http: 443->https の回避策 https://github.com/httplib2/httplib2/issues/112 を元に戻します

- 接続プールの読み取り競合を排除します https://github.com/httplib2/httplib2/pull/110

 - cache: より強力な safename https://github.com/httplib2/httplib2/pull/101 0.11.3

 - 変更はありません。Travis の自動リリース状態を修正した後に 0.11.2 を再アップロードするだけです。 0.11.2

 - proxy: py3 NameError ベース文字列 https://github.com/httplib2/httplib2/pull/100 0.11.1

 - HTTP(S)ConnectionWithTimeout AttributeError proxy_info を修正します https://github.com/httplib2/httplib2/pull/970.11.0

 - DigiCert Global Root G2 シリアル 033af1e6a711a9a0bb2864b11d09fae5 を追加します https://github.com/httplib2/httplib2/pull/91

 - python3 プロキシのサポート https://github.com/httplib2/httplib2/pull/90

 - no_proxy 環境値がカンマで終わる場合、プロキシは使用されません https://github.com/httplib2/httplib2/issues/11

 - socks5 プロキシを使用する UnicodeDecodeError を修正します https://github.com/httplib2/httplib2/pull/64

 - proxy_info_from_url の NO_PROXY env var を尊重します https://github.com/httplib2/httplib2/pull/58

 - NO_PROXY=bar が foobar に一致していました (ドット区切り文字のないサフィックス)。新しい動作は curl/wget に一致します。

 - no_proxy=foo.bar は、正確なホスト名の一致に対してのみプロキシをスキップします

 - no_proxy=.wild.card は、any.subdomains.wild.card のプロキシをスキップします https://github.com/httplib2/httplib2/issues/94

 - Content-Encoding のバグ修正: deflate https://stackoverflow.com/a/22311297

 - 削除されたパッチ

 - certifi パッチの削除: httplib2 が certifi の使用を開始し、これはすでに別のパッチによりシステム証明書バンドルを使用するように変更されています。

この更新はSUSEからインポートされました: SLE-15: 更新プロジェクトを更新します。

ソリューション

影響を受ける python-httplib2 パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1171998

https://bugzilla.opensuse.org/show_bug.cgi?id=1182053

https://github.com/httplib2/httplib2/issues/11

https://github.com/httplib2/httplib2/issues/112

https://github.com/httplib2/httplib2/issues/123

https://github.com/httplib2/httplib2/issues/18

https://github.com/httplib2/httplib2/issues/94

https://github.com/httplib2/httplib2/pull/100

https://github.com/httplib2/httplib2/pull/101

https://github.com/httplib2/httplib2/pull/110

https://github.com/httplib2/httplib2/pull/111

https://github.com/httplib2/httplib2/pull/115

https://github.com/httplib2/httplib2/pull/117

https://github.com/httplib2/httplib2/pull/138

https://github.com/httplib2/httplib2/pull/140

https://github.com/httplib2/httplib2/pull/58

https://github.com/httplib2/httplib2/pull/64

https://github.com/httplib2/httplib2/pull/90

https://github.com/httplib2/httplib2/pull/91

https://github.com/httplib2/httplib2/pull/97

https://stackoverflow.com/a/22311297

プラグインの詳細

深刻度: Medium

ID: 149881

ファイル名: openSUSE-2021-772.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2021/5/25

更新日: 2023/12/29

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.4

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2020-11078

CVSS v3

リスクファクター: Medium

基本値: 6.8

現状値: 6.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:python2-httplib2, p-cpe:/a:novell:opensuse:python3-httplib2, cpe:/o:novell:opensuse:15.2

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2021/5/23

脆弱性公開日: 2020/5/20

参照情報

CVE: CVE-2020-11078, CVE-2021-21240