SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新: python-arcomplete、python-Fabric、python-PyGithub、python-antlr4-python3-runtime、python-avro、python-chardet、python-distro、python-docker、python-fakeredis、python-fixedint、python-httplib2、python-httpretty、python-javaproperties、python-jsondiff、python-knack、python-marshmallow、python-opencensus、python-opencensus-context、python-opencensus-ext-threading、python-opentelemetry-api、python-opentelemetry-sdk、python-opentelemetry-semantic-conventions、python-opentelemetry-test-utils、python-pycomposefile、python-pydash、python-redis、python-retrying、python-semver、python-sshtunnel、python-strictyaml、python-sure、python-vcrpy、python-xmltodict (SUSE-SU-2024:1639-1)

medium Nessus プラグイン ID 197047

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2024:1639-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- 4.5.3より前の redis-py は、不適切な時間に async Redis コマンドをキャンセルした後、接続を開いたままにしておき、無関係なリクエストの応答データを off-by-one の方法で送信する可能性があります。注: この CVE レコードは、当初は ChatGPT に関するレポートを受けて作成され、4.3.6、4.4.3、および 4.5.3 がリリース (パイプライン操作の動作が変更) されました。ただし、AsyncIO 接続全体でのデータ漏洩への対処については、CVE-2023-28859 を参照してください。(CVE-2023-28858)

- 4.4.4より前の redis-py、および 4.5.4 より前の 4.5.x は、不適切な時間に async Redis コマンドをキャンセルした後、接続を開いたままにしておき、無関係なリクエストの応答データを送信する可能性があります。(たとえば、これはパイプラインではない操作で起きる可能性があります) 注: AsyncIO 接続での CVE-2023-28859 アドレスデータ漏洩に対処するための一般的なソリューションです。(CVE-2023-28859)

Nessus はこれらの問題をテストしておらず、代わりにアプリケー代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/761162

https://bugzilla.suse.com/1209571

https://bugzilla.suse.com/1209811

https://bugzilla.suse.com/1209812

https://bugzilla.suse.com/1216606

https://bugzilla.suse.com/1222880

https://lists.suse.com/pipermail/sle-updates/2024-May/035268.html

https://www.suse.com/security/cve/CVE-2023-28858

https://www.suse.com/security/cve/CVE-2023-28859

プラグインの詳細

深刻度: Medium

ID: 197047

ファイル名: suse_SU-2024-1639-1.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

公開日: 2024/5/15

更新日: 2024/5/15

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:N/A:N

CVSS スコアのソース: CVE-2023-28859

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:python311-twisted-conch_nacl, p-cpe:/a:novell:suse_linux:python311-pkginfo, p-cpe:/a:novell:suse_linux:python311-constantly, p-cpe:/a:novell:suse_linux:python311-asgiref, p-cpe:/a:novell:suse_linux:python311-decorator, p-cpe:/a:novell:suse_linux:python311-twisted-http2, p-cpe:/a:novell:suse_linux:python311-pygithub, p-cpe:/a:novell:suse_linux:python311-multidict, p-cpe:/a:novell:suse_linux:python311-redis, p-cpe:/a:novell:suse_linux:python311-opencensus-context, p-cpe:/a:novell:suse_linux:python311-aiohttp, p-cpe:/a:novell:suse_linux:python311-portalocker, p-cpe:/a:novell:suse_linux:python311-lexicon, p-cpe:/a:novell:suse_linux:python311-requests-oauthlib, p-cpe:/a:novell:suse_linux:python311-twisted-serial, p-cpe:/a:novell:suse_linux:python311-avro, p-cpe:/a:novell:suse_linux:python311-fluidity-sm, p-cpe:/a:novell:suse_linux:python311-antlr4-python3-runtime, p-cpe:/a:novell:suse_linux:python311-isodate, p-cpe:/a:novell:suse_linux:python311-argcomplete, p-cpe:/a:novell:suse_linux:python311-knack, p-cpe:/a:novell:suse_linux:python311-typing_extensions, p-cpe:/a:novell:suse_linux:python311-xmltodict, p-cpe:/a:novell:suse_linux:python311-opentelemetry-test-utils, p-cpe:/a:novell:suse_linux:python311-twisted-all_non_platform, p-cpe:/a:novell:suse_linux:python311-zipp, p-cpe:/a:novell:suse_linux:python311-opencensus-ext-threading, p-cpe:/a:novell:suse_linux:python311-opentelemetry-semantic-conventions, p-cpe:/a:novell:suse_linux:python311-docker, p-cpe:/a:novell:suse_linux:python311-pyparsing, p-cpe:/a:novell:suse_linux:python311-jsondiff, p-cpe:/a:novell:suse_linux:python311-invoke, p-cpe:/a:novell:suse_linux:python311-strictyaml, p-cpe:/a:novell:suse_linux:python311-zope.interface, p-cpe:/a:novell:suse_linux:python311-chardet, p-cpe:/a:novell:suse_linux:python311-paramiko, p-cpe:/a:novell:suse_linux:python311-deprecated, p-cpe:/a:novell:suse_linux:python311-distro, p-cpe:/a:novell:suse_linux:python311-twisted-contextvars, p-cpe:/a:novell:suse_linux:python311-psutil, p-cpe:/a:novell:suse_linux:python311-aiosignal, p-cpe:/a:novell:suse_linux:python311-wheel, p-cpe:/a:novell:suse_linux:python311-service_identity, p-cpe:/a:novell:suse_linux:python311-automat, p-cpe:/a:novell:suse_linux:python311-fixedint, p-cpe:/a:novell:suse_linux:python311-semver, p-cpe:/a:novell:suse_linux:python311-sortedcontainers, p-cpe:/a:novell:suse_linux:python311-importlib-metadata, p-cpe:/a:novell:suse_linux:python311-pip, p-cpe:/a:novell:suse_linux:python311-twisted, p-cpe:/a:novell:suse_linux:python311-hyperlink, p-cpe:/a:novell:suse_linux:python311-opentelemetry-api, p-cpe:/a:novell:suse_linux:python311-httpretty, p-cpe:/a:novell:suse_linux:python311-tqdm, p-cpe:/a:novell:suse_linux:python311-opencensus, p-cpe:/a:novell:suse_linux:python311-websocket-client, p-cpe:/a:novell:suse_linux:python311-pycomposefile, p-cpe:/a:novell:suse_linux:python311-httplib2, p-cpe:/a:novell:suse_linux:python311-blinker, p-cpe:/a:novell:suse_linux:python311-pathspec, p-cpe:/a:novell:suse_linux:python311-yarl, cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:python311-twisted-conch, p-cpe:/a:novell:suse_linux:python-paramiko-doc, p-cpe:/a:novell:suse_linux:python311-opentelemetry-sdk, p-cpe:/a:novell:suse_linux:python311-scp, p-cpe:/a:novell:suse_linux:python311-pydash, p-cpe:/a:novell:suse_linux:python311-async_timeout, p-cpe:/a:novell:suse_linux:python311-pyjwt, p-cpe:/a:novell:suse_linux:python311-marshmallow, p-cpe:/a:novell:suse_linux:python311-incremental, p-cpe:/a:novell:suse_linux:python311-sure, p-cpe:/a:novell:suse_linux:python311-oauthlib, p-cpe:/a:novell:suse_linux:python311-humanfriendly, p-cpe:/a:novell:suse_linux:python311-retrying, p-cpe:/a:novell:suse_linux:python311-javaproperties, p-cpe:/a:novell:suse_linux:python311-sshtunnel, p-cpe:/a:novell:suse_linux:python-tqdm-bash-completion, p-cpe:/a:novell:suse_linux:python311-fabric, p-cpe:/a:novell:suse_linux:python311-frozenlist, p-cpe:/a:novell:suse_linux:python311-pygments, p-cpe:/a:novell:suse_linux:python311-tabulate, p-cpe:/a:novell:suse_linux:python311-vcrpy, p-cpe:/a:novell:suse_linux:python311-wrapt, p-cpe:/a:novell:suse_linux:python311-twisted-tls, p-cpe:/a:novell:suse_linux:python311-fakeredis

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/5/14

脆弱性公開日: 2023/3/26

参照情報

CVE: CVE-2023-28858, CVE-2023-28859

SuSE: SUSE-SU-2024:1639-1