FreeBSD : Python -- 複数の脆弱性 (050eba46-7638-11ed-820d-080027d3a315)
high Nessus プラグイン ID 168474
Language:
概要
リモートの FreeBSD ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。説明
リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、050eba46-7638-11ed-820d-080027d3a315 のアドバイザリに記載されている脆弱性の影響を受けます。Python による報告: gh-100001: python -m http.server では、ガベージリクエスト内で送信されたターミナル制御文字を stderr サーバーログに出力できなくなりました。これは印刷する前に http.server BaseHTTPRequestHandler .log_message メソッドを変更して、制御文字を \ xHH の 16 進エスケープで置き換えることで行われます。gh-87604: gc モジュールを介して、インタープリターごとのアクティブな監査フックのリストを公開しないようにします。gh-98433: ソケットまたは asyncio 関連の名前解決関数によって DNS ホスト名で使用される IDNA コーデックデコーダーが、二次アルゴリズムに関与しなくなりました。これにより、双方向文字を含む仕様外の過剰な長さのホスト名がデコードされた場合に、潜在的な CPU サービス拒否が防止されます。urllib http 3xx リダイレクトなどの一部のプロトコルでは、攻撃者がそのような名前を提供する可能性があります。gh-98739: バンドルされている libexpat を 2.5.0に更新します。gh-97612: get-remote-certificate.py サンプルスクリプトのシェルコードインジェクションの脆弱性を修正します。このスクリプトは、openssl コマンドを実行するためにシェルを使用しなくなりました。問題は Caleb Shortt 氏により報告され、初期修正が行われました。
Victor Stinner 氏によるパッチ。(050eba46-7638-11ed-820d-080027d3a315)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存しています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 168474
ファイル名: freebsd_pkg_050eba46763811ed820d080027d3a315.nasl
バージョン: 1.3
タイプ: local
公開日: 2022/12/7
更新日: 2023/11/6
サポートされているセンサー: Nessus
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:python310, p-cpe:/a:freebsd:freebsd:python311, p-cpe:/a:freebsd:freebsd:python37, p-cpe:/a:freebsd:freebsd:python38, p-cpe:/a:freebsd:freebsd:python39, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2022/12/7
脆弱性公開日: 2022/9/28