検出

Debian dla-3980 : idle-python3.9 - セキュリティ更新

critical Nessus プラグイン ID 211991

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 11 ホストには、dla-3980 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-3980-1 [email protected] https://www.debian.org/lts/security/Adrian Bunk 2024 年 12 月 2 日 https://wiki.debian.org/LTS
 - -------------------------------------------------------------------------

 パッケージ : python3.9 バージョン : 3.9.2-1+deb11u2 CVE ID : CVE-2015-20107 CVE-2020-10735 CVE-2021-3426 CVE-2021-3733 CVE-2021-3737 CVE-2021-4189 CVE-2021-28861 CVE-2021-29921 CVE-2022-42919 CVE-2022-45061 CVE-2023-6597 CVE-2023-24329 CVE-2023-27043 CVE-2023-40217 CVE-2024-0397 CVE-2024-0450 CVE-2024-4032 CVE-2024-6232 CVE-2024-6923 CVE-2024-7592 CVE-2024-8088 CVE-2024-9287 CVE-2024-11168 Debian バグ : 989195 1070135 1059298 1070133

 Python3 インタープリターの複数の脆弱性が修正されました。

 CVE-2015-20107

 メールキャップモジュールは、システムメールキャップファイルで検出されたコマンドにエスケープ文字を追加しない

 CVE-2020-10735

 非常に大きな int による DoS を防止

 CVE-2021-3426

 ディスク上の任意のファイルを読み取るために悪用される可能性のある pydoc getfile 機能を削除

 CVE-2021-3733

 urllib の AbstractBasicAuthHandler クラスでの正規表現によるサービス拒否

 CVE-2021-3737

 HTTP クライアントコードの無限ループ

 CVE-2021-4189

 ftplib が PASV 応答を信頼しないようにする

 CVE-2021-28861

 http.server でのオープンリダイレクトの脆弱性

 CVE-2021-29921

 IPv4 アドレスの先行ゼロが許容されなくなりました

 CVE-2022-42919

 マルチプロセッシングに Linux 抽象ソケットを使用しない

 CVE-2022-45061

 IDNA デコーダーの二次時間

 CVE-2023-6597

 tempfile.TemporaryDirectory が dir の削除に失敗する

 CVE-2023-24329

 urlsplit で C0 コントロールとスペースの文字を削除する

 CVE-2023-27043

 email.parseaddr() 内の無効な形式のアドレスを拒否する

 CVE-2023-40217

 TLS ハンドシェイクの ssl.SSLSocket バイパス

 CVE-2024-0397

 ssl.SSLContext の競合状態

 CVE-2024-0450

 引用符で囲まれたオーバーラップ zipbomb DoS

 CVE-2024-4032

 ipaddress モジュールのプライベートアドレスに関する誤った情報

 CVE-2024-6232

 tarfile ヘッダー解析時の ReDoS

 CVE-2024-6923

 メールモジュールのヘッダーの改行をエンコードする

 CVE-2024-7592

 バックスラッシュを含むクッキーを解析する二次的な複雑性

 CVE-2024-8088

 zip アーカイブエントリ名を反復処理する際の無限ループ

 CVE-2024-9287

 venv アクティベーションスクリプトがパスを引用しない

 CVE-2024-11168

 urllib 関数が、括弧で囲まれたホストを不適切に検証する

 Debian 11 bullseye においては、これらの問題はバージョン 3.9.2-1+deb11u2 で修正されました。

 お使いの python3.9 パッケージをアップグレードすることを推奨します。

 python3.9 の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください。
 https://security-tracker.debian.org/tracker/python3.9

 Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

idle-python3.9 パッケージをアップグレードしてください。

参考資料

https://security-tracker.debian.org/tracker/source-package/python3.9

https://security-tracker.debian.org/tracker/CVE-2015-20107

https://security-tracker.debian.org/tracker/CVE-2020-10735

https://security-tracker.debian.org/tracker/CVE-2021-28861

https://security-tracker.debian.org/tracker/CVE-2021-29921

https://security-tracker.debian.org/tracker/CVE-2021-3426

https://security-tracker.debian.org/tracker/CVE-2021-3733

https://security-tracker.debian.org/tracker/CVE-2021-3737

https://security-tracker.debian.org/tracker/CVE-2021-4189

https://security-tracker.debian.org/tracker/CVE-2022-42919

https://security-tracker.debian.org/tracker/CVE-2022-45061

https://security-tracker.debian.org/tracker/CVE-2023-24329

https://security-tracker.debian.org/tracker/CVE-2023-27043

https://security-tracker.debian.org/tracker/CVE-2023-40217

https://security-tracker.debian.org/tracker/CVE-2023-6597

https://security-tracker.debian.org/tracker/CVE-2024-0397

https://security-tracker.debian.org/tracker/CVE-2024-0450

https://security-tracker.debian.org/tracker/CVE-2024-11168

https://security-tracker.debian.org/tracker/CVE-2024-4032

https://security-tracker.debian.org/tracker/CVE-2024-6232

https://security-tracker.debian.org/tracker/CVE-2024-6923

https://security-tracker.debian.org/tracker/CVE-2024-7592

https://security-tracker.debian.org/tracker/CVE-2024-8088

https://security-tracker.debian.org/tracker/CVE-2024-9287

https://packages.debian.org/source/bullseye/python3.9

プラグインの詳細

深刻度: Critical

ID: 211991

ファイル名: debian_DLA-3980.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2024/12/2

更新日: 2024/12/2

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.1

CVSS v2

リスクファクター: High

基本値: 8

現状値: 6.3

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:C/A:P

CVSS スコアのソース: CVE-2015-20107

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2021-29921

CVSS v4

リスクファクター: Critical

Base Score: 9.3

Threat Score: 8.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2023-40217

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:idle-python3.9, p-cpe:/a:debian:debian_linux:libpython3.9-minimal, p-cpe:/a:debian:debian_linux:libpython3.9-dbg, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:python3.9, p-cpe:/a:debian:debian_linux:libpython3.9-dev, p-cpe:/a:debian:debian_linux:python3.9-minimal, p-cpe:/a:debian:debian_linux:python3.9-dbg, p-cpe:/a:debian:debian_linux:libpython3.9-testsuite, p-cpe:/a:debian:debian_linux:libpython3.9, p-cpe:/a:debian:debian_linux:python3.9-venv, p-cpe:/a:debian:debian_linux:python3.9-dev, p-cpe:/a:debian:debian_linux:libpython3.9-stdlib, p-cpe:/a:debian:debian_linux:python3.9-full, p-cpe:/a:debian:debian_linux:python3.9-examples, p-cpe:/a:debian:debian_linux:python3.9-doc

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/12/2

脆弱性公開日: 2021/4/7

参照情報

CVE: CVE-2015-20107, CVE-2020-10735, CVE-2021-28861, CVE-2021-29921, CVE-2021-3426, CVE-2021-3733, CVE-2021-3737, CVE-2021-4189, CVE-2022-42919, CVE-2022-45061, CVE-2023-24329, CVE-2023-27043, CVE-2023-40217, CVE-2023-6597, CVE-2024-0397, CVE-2024-0450, CVE-2024-11168, CVE-2024-4032, CVE-2024-6232, CVE-2024-6923, CVE-2024-7592, CVE-2024-8088, CVE-2024-9287