Fedora 40 : llhttp / python-aiohttp (2023-f2bb9ee617)

high Nessus プラグイン ID 194537

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 40 ホストには、FEDORA-2023-f2bb9ee617 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

- ## python-aiohttp 3.8.6 (2023-10-07) https://github.com/aio-libs/aiohttp/blob/v3.8.6/CHANGES.rst#386-2023-10-07### セキュリティバグ修正 -「llhttp」を v9.1.3 にアップグレード:しました
https://github.com/aio-libs/aiohttp/security/advisories/GHSA-pjjw-qhg8-p2p9 - RFC 9110/9112 に準拠するために Python パーサーを更新しました: https://github.com/aio-libs/aiohttp/security/advisories/GHSA-gfw2-4jvh-wgfg### 非推奨 -「ClientSession」に「fallback_charset_resolver」パラメーターを追加し、ユーザー指定の文字セット検出関数を実行できるようにします。文字セット検出は、デフォルトとして 3.9 に含められなくなります。
この機能が必要な場合は、[「fallback_charset_resolver」] を使用してください (https://docs.aiohttp.org/en/stable/client_advanced.html#character-set-detection)。### 機能 - クライアントでのより柔軟な解析のために、緩やかな応答解析を有効にしました (これにより、不適切にフォーマットされた HTTP 応答を処理する際の回帰の一部が解決されるはずです)。### バグ修正 - アクセス許可が原因で「.netrc」が読み取れない場合の「PermissionError」を修正しました。-「\n」をポイントする解析エラーの出力を修正しました。-「GunicornWebWorker」max_requests_jatter が機能していないことを修正しました。- 最長パスを持つクッキーを使用するよう「filter_cookies」でのソートを修正しました。-「llhttp」からの「BadStatusLine」メッセージの表示を修正しました。---- ## llhttp 9.1.3 ### 修正 - HTTP 100 のパーサーを再起動します - チャンク拡張 quoted-string 値の解析を修正します - リセットで切り捨てられる lenient_flags を修正します - 複数の名前と値のペアが提供されたときのチャンク拡張パラメーターの解析を修正します ## llhttp 9.1.2 ### 変更内容 - HTTP 1xx の処理を修正します ## llhttp 9.1.1 ### 変更内容 - 機能: 新しい寛大なメソッドを露出します ## llhttp 9.1.0 ### 変更内容 - CR を完全にするための新しい緩やかなフラグオプション - チャンクヘッダーの後にスペースを持つための新しい緩やかなフラグ (FEDora-2023-f2bb9ee617)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける llhttp や python-aiohttp パッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2023-f2bb9ee617

プラグインの詳細

深刻度: High

ID: 194537

ファイル名: fedora_2023-f2bb9ee617.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

ファミリー: Fedora Local Security Checks

公開日: 2024/4/29

更新日: 2024/4/29

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

脆弱性情報

CPE: cpe:/o:fedoraproject:fedora:40, p-cpe:/a:fedoraproject:fedora:llhttp, p-cpe:/a:fedoraproject:fedora:python-aiohttp

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/10/20

脆弱性公開日: 2023/10/20

参照情報

FEDORA: 2023-f2bb9ee617