検出

Fedora 39 : python3-docs / python3.12 (2024-e453a209e9)

medium Nessus プラグイン ID 207539

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 39 ホストには、FEDORA-2024-e453a209e9 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 これは、Python 3.12 の 6 回目のメンテナンスリリースです====================================================

 Python 3.12 は、Python プログラミング言語の最新のメジャーリリースであり、多くの新機能と最適化が含まれています。3.12.6 は、最新のメンテナンスリリースであり、3.12.5 以来、約 90 のバグ修正、ビルドの改善、ドキュメントの変更が行われています。これは、次のセキュリティの問題に対応する緊急リリースです。

 - [gh-123067] (https://github.com/python/cpython/issues/123067):) [`http.cookies`] によるバックスラッシュ付きの `` で引用された Cookie 値の解析における 2 次複雑度を修正します (https://docs.python.org/3/library/http.cookies.html#module-http.cookies)。CVE-2024-7592 の修正。
 - [gh-121285] (https://github.com/python/cpython/issues/121285):) `hdrcharset`、PAX、および GNU スパースヘッダーの解析の tarfile ヘッダーからバックトラッキングを削除します。それは CVE-2024-6232 です。
 - [gh-102988] (https://github.com/python/cpython/issues/102988):) [`email.utils.getaddresses()`] (https://docs.python.org/3/library/email.utils.html#email.utils.getaddresses) および [`email.utils.parseaddr()`] (https://docs.python.org/3/library/email.utils.html#email.utils.parseaddr) は、無効な電子メールアドレスが検出された状況では、不正確な値ではなく、より多くの状況で `('', '')` 2 タプルを返すようになりました。オプションの *strict* パラメーターをこれらの 2 つの関数に追加します: `strict=False` を使用して古い動作を取得し、無効な形式の入力を受け入れます。`getattr(email.utils, 'supports_strict_parsing', False)` を使用して、*strict* パラメーターが使用可能かどうかをチェックできます。これにより、CVE-2023-27043 の修正が改善されます。
 - [gh-123270] (https://github.com/python/cpython/issues/123270):) 正当な文字を使用してコンテンツを破損することなく、[`zipfile.Path`] (https://docs.python.org/3/library/zipfile.html#zipfile.Path) の名前をサニタイズし、無限ループ ([gh-122905] (https://github.com/python/cpython/issues/122905)) を回避します。それは CVE-2024-8088 です。

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける python3-docs や python3.12 パッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2024-e453a209e9

プラグインの詳細

深刻度: Medium

ID: 207539

ファイル名: fedora_2024-e453a209e9.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2024/9/21

更新日: 2024/9/21

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2023-27043

CVSS v3

リスクファクター: Medium

基本値: 5.3

現状値: 4.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: Critical

Base Score: 9.3

Threat Score: 8.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:python3-docs, p-cpe:/a:fedoraproject:fedora:python3.12, cpe:/o:fedoraproject:fedora:39

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/9/10

脆弱性公開日: 2023/4/18

参照情報

CVE: CVE-2023-27043, CVE-2024-6232, CVE-2024-7592, CVE-2024-8088