検出

Fedora 39 : python3.11 (2024-37d9c902dd)

medium Nessus プラグイン ID 207486

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 39 ホストには、FEDORA-2024-37d9c902dd のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 これは Python 3.11 のセキュリティリリースです
 -----------------------------------------

 **注:** 表示されているリリースは Python 3.11.10 で、レガシー 3.11 シリーズの **セキュリティバグ修正リリース** です。*Python 3.12* が、Python 3 の最新の機能リリースシリーズになりました。

 このリリースのセキュリティコンテンツ
 --------------------------------

 - [gh-123067] (https://github.com/python/cpython/issues/123067):) [`http.cookies`] によるバックスラッシュ付きの `` で引用された Cookie 値の解析における 2 次複雑度を修正します (https://docs.python.org/3/library/http.cookies.html#module-http.cookies)。CVE-2024-7592 の修正。
 - [gh-113171] (https://github.com/python/cpython/issues/113171):) IPv4Address.is_private、IPv4Address.is_global、IPv6Address.is_private、IPv6Address.is_global のさまざまな誤検出および検出漏れを修正しました。
 CVE-2024-4032 の修正。
 - [gh-67693] (https://github.com/python/cpython/issues/67693):) 複数のスラッシュで始まり権限のないパスのある URI の [`urllib.parse.urlunparse()`] (https://docs.python.org/3/library/urllib.parse.html#urllib.parse.urlunparse) および [`urllib.parse.urlunsplit()`] (https://docs.python.org/3/library/urllib.parse.html#urllib.parse.urlunsplit) を修正します。CVE-2015-2104 の修正。
 - [gh-121957] (https://github.com/python/cpython/issues/121957):) Python の対話型使用に関する監査イベントの欠落を修正し、`python -i` だけでなく `python -m asyncio` でも適切に実行されるようになりました。
 問題のイベントは「cpython.run_stdin」です。
 - [gh-122133] (https://github.com/python/cpython/issues/122133):) Windows のように `AF_UNIX` が利用できないプラットフォームで、`socket.socketpair()` フォールバック用のソケット接続を認証します。
 - [gh-121285] (https://github.com/python/cpython/issues/121285):) `hdrcharset`、PAX、および GNU スパースヘッダーの解析の tarfile ヘッダーからバックトラッキングを削除します。それは CVE-2024-6232 です。
 - [gh-114572] (https://github.com/python/cpython/issues/114572):) [`ssl.SSLContext.cert_store_stats()`](ht tps://docs.python.org/3/library/ssl.html#ssl.SSLContext.cert_store_stats) および [`ssl.SSLContext.get_ca_certs()`] (https://docs.python.org/3/library/ssl.html#ssl.SSLContext.get_ca_certs) は、[`ssl.SSLContext`] (https://docs.python.org/3/library/ssl.html#ssl.SSLContext) が複数のスレッドで共有されているときに、証明書ストアへのアクセスを適切にロックするようになりました。
 - [gh-102988] (https://github.com/python/cpython/issues/102988):) [`email.utils.getaddresses()`] (https://docs.python.org/3/library/email.utils.html#email.utils.getaddresses) および [`email.utils.parseaddr()`] (https://docs.python.org/3/library/email.utils.html#email.utils.parseaddr) は、無効な電子メールアドレスが検出された状況では、不正確な値ではなく、より多くの状況で `('', '')` 2 タプルを返すようになりました。オプションの *strict* パラメーターをこれらの 2 つの関数に追加します: `strict=False` を使用して古い動作を取得し、無効な形式の入力を受け入れます。`getattr(email.utils, 'supports_strict_parsing', False)` を使用して、*strict* パラメーターが使用可能かどうかをチェックできます。これにより、CVE-2023-27043 の修正が改善されます。
 - [gh-123270] (https://github.com/python/cpython/issues/123270):) 正当な文字を使用してコンテンツを破損することなく、[`zipfile.Path`] (https://docs.python.org/3/library/zipfile.html#zipfile.Path) の名前をサニタイズし、無限ループ ([gh-122905] (https://github.com/python/cpython/issues/122905)) を回避します。それは CVE-2024-8088 です。
 - [gh-121650](https://github.com/python/cpython/issues/121650):
 [`email`] (https://docs.python.org/3/library/email.html#module-email) 改行が埋め込まれたヘッダーは、出力で引用されるようになりました。[`generator`] (https://docs.python.org/3/library/email.generator.html#module-email.generator) は、安全でない方法で折り畳まれたり区切られたりしたヘッダーのシリアル化 (書き込み) を拒否するようになります。[`verify_generated_headers`] を参照してください (https://docs.python.org/3/library/email.policy.html#email.policy.Policy.verify_generated_headers)。それは CVE-2024-6923 です。
 - [gh-119690] (https://github.com/python/cpython/issues/119690):) `_winapi.CreateFile` および `_winapi.CreateNamedPipe` によって引き起こされる監査イベントのデータ型の取り違えを修正します。
 - [gh-116773] (https://github.com/python/cpython/issues/116773):) `<_overlapped.Overlapped object at 0xXXX> には割り当て解除時に保留中の操作がまだあります。プロセスがクラッシュする可能性があります` のインスタンスを修正します。
 - [gh-112275] (https://github.com/python/cpython/issues/112275):) フォーク時の `pystate.c` の `posixmodule.c` の `HEAD_LOCK` に関連するデッドロックが修正されました。

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける python3.11 パッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2024-37d9c902dd

プラグインの詳細

深刻度: Medium

ID: 207486

ファイル名: fedora_2024-37d9c902dd.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2024/9/20

更新日: 2024/9/20

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2023-27043

CVSS v3

リスクファクター: Medium

基本値: 5.3

現状値: 4.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:fedoraproject:fedora:39, p-cpe:/a:fedoraproject:fedora:python3.11

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/9/11

脆弱性公開日: 2020/2/19

参照情報

CVE: CVE-2015-2104, CVE-2023-27043, CVE-2024-4032, CVE-2024-6232, CVE-2024-6923, CVE-2024-7592, CVE-2024-8088