Fedora 40 : python3.9 (2024-1e6d6f8452)

critical Nessus プラグイン ID 207482

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 40 ホストには、FEDORA-2024-1e6d6f8452 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

これは Python 3.11 のセキュリティリリースです
-----------------------------------------

**注:** 表示されているリリースは Python 3.11.10 で、レガシー 3.11 シリーズの **セキュリティバグ修正リリース** です。*Python 3.12* が、Python 3 の最新の機能リリースシリーズになりました。

このリリースのセキュリティコンテンツ
--------------------------------

- [gh-123067] (https://github.com/python/cpython/issues/123067):) [`http.cookies`] によるバックスラッシュ付きの `` で引用された Cookie 値の解析における 2 次複雑度を修正します (https://docs.python.org/3/library/http.cookies.html#module-http.cookies)。CVE-2024-7592 の修正。
- [gh-113171] (https://github.com/python/cpython/issues/113171):) IPv4Address.is_private、IPv4Address.is_global、IPv6Address.is_private、IPv6Address.is_global のさまざまな誤検出および検出漏れを修正しました。
CVE-2024-4032 の修正。
- [gh-67693] (https://github.com/python/cpython/issues/67693):) 複数のスラッシュで始まり権限のないパスのある URI の [`urllib.parse.urlunparse()`] (https://docs.python.org/3/library/urllib.parse.html#urllib.parse.urlunparse) および [`urllib.parse.urlunsplit()`] (https://docs.python.org/3/library/urllib.parse.html#urllib.parse.urlunsplit) を修正します。CVE-2015-2104 の修正。
- [gh-121957] (https://github.com/python/cpython/issues/121957):) Python の対話型使用に関する監査イベントの欠落を修正し、`python -i` だけでなく `python -m asyncio` でも適切に実行されるようになりました。
問題のイベントは「cpython.run_stdin」です。
- [gh-122133] (https://github.com/python/cpython/issues/122133):) Windows のように `AF_UNIX` が利用できないプラットフォームで、`socket.socketpair()` フォールバック用のソケット接続を認証します。
- [gh-121285] (https://github.com/python/cpython/issues/121285):) `hdrcharset`、PAX、および GNU スパースヘッダーの解析の tarfile ヘッダーからバックトラッキングを削除します。それは CVE-2024-6232 です。
- [gh-114572] (https://github.com/python/cpython/issues/114572):) [`ssl.SSLContext.cert_store_stats()`](ht tps://docs.python.org/3/library/ssl.html#ssl.SSLContext.cert_store_stats) および [`ssl.SSLContext.get_ca_certs()`] (https://docs.python.org/3/library/ssl.html#ssl.SSLContext.get_ca_certs) は、[`ssl.SSLContext`] (https://docs.python.org/3/library/ssl.html#ssl.SSLContext) が複数のスレッドで共有されているときに、証明書ストアへのアクセスを適切にロックするようになりました。
- [gh-102988] (https://github.com/python/cpython/issues/102988):) [`email.utils.getaddresses()`] (https://docs.python.org/3/library/email.utils.html#email.utils.getaddresses) および [`email.utils.parseaddr()`] (https://docs.python.org/3/library/email.utils.html#email.utils.parseaddr) は、無効な電子メールアドレスが検出された状況では、不正確な値ではなく、より多くの状況で `('', '')` 2 タプルを返すようになりました。オプションの *strict* パラメーターをこれらの 2 つの関数に追加します: `strict=False` を使用して古い動作を取得し、無効な形式の入力を受け入れます。`getattr(email.utils, 'supports_strict_parsing', False)` を使用して、*strict* パラメーターが使用可能かどうかをチェックできます。これにより、CVE-2023-27043 の修正が改善されます。
- [gh-123270] (https://github.com/python/cpython/issues/123270):) 正当な文字を使用してコンテンツを破損することなく、[`zipfile.Path`] (https://docs.python.org/3/library/zipfile.html#zipfile.Path) の名前をサニタイズし、無限ループ ([gh-122905] (https://github.com/python/cpython/issues/122905)) を回避します。それは CVE-2024-8088 です。
- [gh-121650](https://github.com/python/cpython/issues/121650):
[`email`] (https://docs.python.org/3/library/email.html#module-email) 改行が埋め込まれたヘッダーは、出力で引用されるようになりました。[`generator`] (https://docs.python.org/3/library/email.generator.html#module-email.generator) は、安全でない方法で折り畳まれたり区切られたりしたヘッダーのシリアル化 (書き込み) を拒否するようになります。[`verify_generated_headers`] を参照してください (https://docs.python.org/3/library/email.policy.html#email.policy.Policy.verify_generated_headers)。それは CVE-2024-6923 です。
- [gh-119690] (https://github.com/python/cpython/issues/119690):) `_winapi.CreateFile` および `_winapi.CreateNamedPipe` によって引き起こされる監査イベントのデータ型の取り違えを修正します。
- [gh-116773] (https://github.com/python/cpython/issues/116773):) `<_overlapped.Overlapped object at 0xXXX> には割り当て解除時に保留中の操作がまだあります。プロセスがクラッシュする可能性があります` のインスタンスを修正します。
- [gh-112275] (https://github.com/python/cpython/issues/112275):) フォーク時の `pystate.c` の `posixmodule.c` の `HEAD_LOCK` に関連するデッドロックが修正されました。これは Python 3.9 のセキュリティリリースです
----------------------------------------

**注:** 表示されているリリースは Python 3.9.20 で、レガシー 3.9 シリーズの **セキュリティバグ修正リリース** です。*Python 3.12* が、Python 3 の最新の機能リリースシリーズになりました。[3.12.x の最新リリースを取得してください](https://www.python.org/downloads/)。

このリリースのセキュリティコンテンツ
--------------------------------

- [gh-123678](https://github.com/python/cpython/issues/123678) and [gh-116741](https://github.com/python/cpython/issues/116741): バンドルされた libexpat を 2.6.3 にアップグレードして [CVE-2024-28757](https://github.com/advisories/GHSA-ch5v-h69f-mxc8)、[CVE-2024-45490](https://github.com/advisories/GHSA-4hvh-m426-wv8w)、[CVE-2024-45491](https://github.com/advisories/GHSA-784x-7qm2-gp97) および [CVE-2024-45492](https://github.com/advisories/GHSA-5qxm-qvmj-8v79) を修正します。
- [gh-118486](https://github.com/python/cpython/issues/118486):
Windows の [`os.mkdir()`](https://docs.python.org/3/library/os.html#os.mkdir) は現在、*mode*「0o700」を受け入れ、新しいディレクトリを現在のユーザーに制限しています。これにより、ベースの一時ディレクトリがデフォルトよりも許容度の高いシナリオで、[`tempfile.mkdtemp()`](https://docs.python.org/3/library/tempfile.html#tempfile.mkdtemp) に影響を与える CVE-2024-4030 が修正されます。
- [gh-123067] (https://github.com/python/cpython/issues/123067):) [`http.cookies`] によるバックスラッシュ付きの `` で引用された Cookie 値の解析における 2 次複雑度を修正します (https://docs.python.org/3/library/http.cookies.html#module-http.cookies)。CVE-2024-7592 の修正。
- [gh-113171] (https://github.com/python/cpython/issues/113171):) IPv4Address.is_private、IPv4Address.is_global、IPv6Address.is_private、IPv6Address.is_global のさまざまな誤検出および検出漏れを修正しました。
CVE-2024-4032 の修正。
- [gh-67693] (https://github.com/python/cpython/issues/67693):) 複数のスラッシュで始まり権限のないパスのある URI の [`urllib.parse.urlunparse()`] (https://docs.python.org/3/library/urllib.parse.html#urllib.parse.urlunparse) および [`urllib.parse.urlunsplit()`] (https://docs.python.org/3/library/urllib.parse.html#urllib.parse.urlunsplit) を修正します。CVE-2015-2104 の修正。
- [gh-121957] (https://github.com/python/cpython/issues/121957):) Python の対話型使用に関する監査イベントの欠落を修正し、`python -i` だけでなく `python -m asyncio` でも適切に実行されるようになりました。
問題のイベントは「cpython.run_stdin」です。
- [gh-122133] (https://github.com/python/cpython/issues/122133):) Windows のように `AF_UNIX` が利用できないプラットフォームで、`socket.socketpair()` フォールバック用のソケット接続を認証します。
- [gh-121285] (https://github.com/python/cpython/issues/121285):) `hdrcharset`、PAX、および GNU スパースヘッダーの解析の tarfile ヘッダーからバックトラッキングを削除します。それは CVE-2024-6232 です。
- [gh-114572] (https://github.com/python/cpython/issues/114572):) [`ssl.SSLContext.cert_store_stats()`](ht tps://docs.python.org/3/library/ssl.html#ssl.SSLContext.cert_store_stats) および [`ssl.SSLContext.get_ca_certs()`] (https://docs.python.org/3/library/ssl.html#ssl.SSLContext.get_ca_certs) は、[`ssl.SSLContext`] (https://docs.python.org/3/library/ssl.html#ssl.SSLContext) が複数のスレッドで共有されているときに、証明書ストアへのアクセスを適切にロックするようになりました。
- [gh-102988] (https://github.com/python/cpython/issues/102988):) [`email.utils.getaddresses()`] (https://docs.python.org/3/library/email.utils.html#email.utils.getaddresses) および [`email.utils.parseaddr()`] (https://docs.python.org/3/library/email.utils.html#email.utils.parseaddr) は、無効な電子メールアドレスが検出された状況では、不正確な値ではなく、より多くの状況で `('', '')` 2 タプルを返すようになりました。オプションの *strict* パラメーターをこれらの 2 つの関数に追加します: `strict=False` を使用して古い動作を取得し、無効な形式の入力を受け入れます。`getattr(email.utils, 'supports_strict_parsing', False)` を使用して、*strict* パラメーターが使用可能かどうかをチェックできます。これにより、CVE-2023-27043 の修正が改善されます。
- [gh-123270] (https://github.com/python/cpython/issues/123270):) 正当な文字を使用してコンテンツを破損することなく、[`zipfile.Path`] (https://docs.python.org/3/library/zipfile.html#zipfile.Path) の名前をサニタイズし、無限ループ ([gh-122905] (https://github.com/python/cpython/issues/122905)) を回避します。それは CVE-2024-8088 です。
- [gh-121650](https://github.com/python/cpython/issues/121650):
[`email`] (https://docs.python.org/3/library/email.html#module-email) 改行が埋め込まれたヘッダーは、出力で引用されるようになりました。[`generator`] (https://docs.python.org/3/library/email.generator.html#module-email.generator) は、安全でない方法で折り畳まれたり区切られたりしたヘッダーのシリアル化 (書き込み) を拒否するようになります。[`verify_generated_headers`] を参照してください。参照: [`ver

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。