検出

openSUSE 15 セキュリティ更新: python (openSUSE-SU-2022:1091-1)

high Nessus プラグイン ID 159477

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SUSE15ホストには、openSUSE-SU-2022:1091-1のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - python-pip が git 参照で Unicode セパレーターを処理する方法に、欠陥が見つかりました。リモートの攻撃者がこの問題を利用して、別のリビジョンをリポジトリにインストールする可能性があります。この脆弱性からの最大の脅威は、データの整合性です。python-pip バージョン 21.1では修正されています。(CVE-2021-3572)

 - python2.7-2.7.18-20.fc37 の自動更新。##### **変更ログ** ``` * 2022 年 2 月 16 日 (水曜日) Charalampos Stratakis <[email protected]> - 2.7.18-20 - CVE-2021-4189 および CVE-2022-0391 のセキュリティ修正解決 :
rhbz#2047376 ``` (CVE-2021-4189)

 - Python、特に urllib.parse モジュール内に欠陥が見つかりました。このモジュールは、Uniform Resource Locator (URL) 文字列をコンポーネントに分割するのに役立ちます。この問題には、urlparse メソッドが入力をサニタイズせず、URL パスで「\r」や「\n」のような文字を許可する方法が関係しています。この欠陥により、攻撃者が細工された URL を入力することで、インジェクション攻撃を引き起こす可能性があります。この欠陥は、3.10.0b1、3.9.5、3.8.11、3.7.11および 3.6.14より前のバージョンの Python に影響を与えます。(CVE-2022-0391)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1175619

https://bugzilla.suse.com/1186819

https://bugzilla.suse.com/1194146

https://bugzilla.suse.com/1195396

http://www.nessus.org/u?2a8dfaa2

https://www.suse.com/security/cve/CVE-2021-3572

https://www.suse.com/security/cve/CVE-2021-4189

https://www.suse.com/security/cve/CVE-2022-0391

プラグインの詳細

深刻度: High

ID: 159477

ファイル名: openSUSE-2022-1091-1.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2022/4/4

更新日: 2023/11/3

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2022-0391

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libpython2_7-1_0, p-cpe:/a:novell:opensuse:libpython2_7-1_0-32bit, p-cpe:/a:novell:opensuse:python, p-cpe:/a:novell:opensuse:python-32bit, p-cpe:/a:novell:opensuse:python-base, p-cpe:/a:novell:opensuse:python-base-32bit, p-cpe:/a:novell:opensuse:python-curses, p-cpe:/a:novell:opensuse:python-demo, p-cpe:/a:novell:opensuse:python-devel, p-cpe:/a:novell:opensuse:python-gdbm, p-cpe:/a:novell:opensuse:python-idle, p-cpe:/a:novell:opensuse:python-tk, p-cpe:/a:novell:opensuse:python-xml, cpe:/o:novell:opensuse:15.3

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/4/1

脆弱性公開日: 2021/11/9

参照情報

CVE: CVE-2021-3572, CVE-2021-4189, CVE-2022-0391