Fedora 38 : python-aiohttp (2024-0ddda4c691)

high Nessus プラグイン ID 190327

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 38 ホストには、FEDORA-2024-0ddda4c691 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- aiohttp は、asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークです。aiohttp を Web サーバーとして使用し、静的ルートを設定する場合、静的ファイルのルートパスを指定する必要があります。
さらに、静的ルートディレクトリ外のシンボリックリンクをフォローするかどうかが「follow_symlinks」オプションによって決定される可能性があります。「follow_symlinks」が True に設定されている場合、ルートディレクトリ内でファイルの読み取りが行われているかどうかを確認する検証が行われません。このため、ディレクトリトラバーサルの脆弱性が発生し、シンボリックリンクが存在しない場合でもシステム上の任意のファイルへの認証されていないアクセスが発生する可能性があります。
follow_symlinks を無効にし、リバースプロキシを使用することが推奨されます。バージョン 3.9.2 ではこの問題が修正されています。(CVE-2024-23334)

- aiohttp は、asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークです。Python HTTP パーサーのセキュリティに敏感な部分は、許容される文字セットのマイナーな違いを保持していました。このため、追加のリクエストのインジェクションから保護するために、エラー処理をトリガーしてプロキシのフレーム境界を確実に一致させる必要があります。さらに、検証を実行すると、他の無効な形式の入力の処理と一貫して処理されない例外が発生する可能性があります。インターネット標準の要求よりも寛大に処理すると、デプロイメント環境によってはリクエストのスマグリングが助長される可能性があります。処理されない例外により、アプリケーションサーバーやそのロギング機能で過剰なリソース消費が発生する可能性があります。この脆弱性は、CVE-2023-47627 の修正が不完全なために存在します。バージョン 3.9.2 では、この脆弱性が修正されています。(CVE-2024-23829)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。