Fedora 39 : jupyterlab / python-notebook (2024-1673c2696e)
medium Nessus プラグイン ID 189939
Language:
概要
リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。説明
リモートの Fedora 39 ホストには、FEDORA-2024-1673c2696e のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- JupyterLab は、Jupyter Notebook とアーキテクチャに基づいた、インタラクティブで再現可能なコンピューティングのための拡張可能な環境です。この脆弱性は、JupyterLab のプレビュー機能を使用して悪意のある Markdown ファイルを開くユーザーの操作に依存しています。悪意のあるユーザーは、攻撃されたユーザーがアクセスできるあらゆるデータにアクセスできるだけでなく、攻撃されたユーザーになりすまし、任意のリクエストを実行できます。JupyterLab バージョン 4.0.11 にパッチが適用されました。ユーザーはアップグレードすることをお勧めします。アップグレードできないユーザーは、目次拡張機能を無効にしてください。(CVE-2024-22420)
- JupyterLab は、Jupyter Notebook とアーキテクチャに基づいた、インタラクティブで再現可能なコンピューティングのための拡張可能な環境です。古い「jupyter-server」バージョンを実行している場合、悪意のあるリンクをクリックした JupyterLab のユーザーが「Authorization」および「XSRFToken」トークンを第三者に公開される可能性があります。JupyterLab バージョン 4.1.0b2、4.0.11、3.6.7 にパッチが適用されています。回避策は特定されていませんが、ユーザーは「jupyter-server」を、リダイレクトの脆弱性の修正を含むバージョン 2.7.2 以降にアップグレードする必要があります。
(CVE-2024-22421)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受ける jupyterlab や python-notebook パッケージを更新してください。参考資料
https://bodhi.fedoraproject.org/updates/FEDORA-2024-1673c2696e
プラグインの詳細
深刻度: Medium
ID: 189939
ファイル名: fedora_2024-1673c2696e.nasl
バージョン: 1.0
タイプ: local
エージェント: unix
ファミリー: Fedora Local Security Checks
公開日: 2024/2/2
更新日: 2024/2/2
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.8
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS スコアのソース: CVE-2024-22421
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:python-notebook, p-cpe:/a:fedoraproject:fedora:jupyterlab, cpe:/o:fedoraproject:fedora:39
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/1/24
脆弱性公開日: 2024/1/19
参照情報
CVE: CVE-2024-22420, CVE-2024-22421
FEDORA: 2024-1673c2696e