検出

Fedora 41 : uv (2024-8568f9cd5e)

high Nessus プラグイン ID 212152

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 41 ホストには、FEDORA-2024-8568f9cd5e のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

 「uv」を 0.4.30 から 0.5.5 に更新してください。これは重要な更新です。以下の注意事項をご確認ください。

 ----

 「uv」の最新リリースに更新することで、この更新により [CVE-2024-53899] (https://nvd.nist.gov/vuln/detail/CVE-2024-53899) が修正されます。もともとは、これは [「virtualenv」] (https://pypi.org/project/virtualenv/) に対して報告されていましたが、「uv」0.5.2 以前のバージョンでも再現可能でした。詳細については、[upstream の問題 #9424] (https://github.com/astral-sh/uv/issues/9424) を参照してください。

 ----

 この更新では、Fedora に固有の設定を含むデフォルトのシステム全体の設定ファイル「/etc/uv/uv.toml」が追加されます。RPM パッケージの「uv」は、2 つの点でデフォルト設定から逸脱しています。

 まず、意図しない Python のダウンロードを回避するために、「python-downloads」を「manual」に設定します。ディストリビューションのメンテナンスと統合のメリットを受けられる RPM パッケージ (システム) の Python の使用を推奨します。「uv python install」を使用して、管理対象の Python を手動でインストールします。

 次に、「python-preference」を「managed」ではなく「system」に設定します。そうしない場合、利用可能な管理された Python がプライマリシステムの Python よりもかなり古いものであっても、特定の Python が指定されていない「uv」操作に管理された Python を使用します。

 すべてのユーザーとアプリケーションに適切な選択肢というものはありません。デフォルトの動作に戻すには、このファイルの設定をコメントアウトするか、ユーザーレベルの設定ファイルなどの、より優先度の高い設定ファイルで上書きします。プロジェクトレベル、ユーザーレベル、およびシステムレベルの設定ファイルの相互作用の詳細については、https://docs.astral.sh/uv/configuration/files/ を参照してください。

 ----

 0.5.0 により、「uv」では、互換性に影響を与える可能性があるいくつかの変更が生じるようになりました。開発者は、これらの変更は正確性とユーザーエクスペリエンスを向上させるものの、一部のワークフローが破損する可能性があると書いています。このリリースにはこれらの変更が含まれています。多くは、念のため、警告としてマークが付けられています。ほとんどのユーザーは、変更を加えることなくアップグレードできると想定されます。

 - 基本実行可能ファイルを使用して、virtualenv Python パスを設定する
 - インストーラーで Cargo ホームディレクトリの代わりに XDG (すなわち、「~/.local/bin」) を使用する
 - 親ディレクトリの .python-version ファイルを検出して遵守する
 - 許可されていない設定が「uv.toml」で定義されている場合のエラー
 - PEP 440 準拠のローカルバージョンセマンティクスを実装する
 - ベース Conda 環境をシステム環境として扱う
 -「!=」演算子が使用されている場合、プレリリースを許可しない
 - Windows でホームディレクトリを選択する際に、「FOLDERID_Profile」よりも「USERPROFILE」を優先する
 - カラー環境変数と CLI オプションの間の相互作用を改善する
 - 「allow-insecure-host」をグローバルオプションにする
 - バージョンが異なる場合、ワークスペースメンバーに対して「uv init」中に「.python-version」ファイルのみを書き込む

 これらの変更の詳細については、https://github.com/astral-sh/uv/releases/tag/0.5.0 を参照してください。

 この更新におけるその他の修正、拡張機能、変更については、以下を参照してください。

 - https://github.com/astral-sh/uv/releases/tag/0.5.1
 - https://github.com/astral-sh/uv/releases/tag/0.5.2
 - https://github.com/astral-sh/uv/releases/tag/0.5.3
 - https://github.com/astral-sh/uv/releases/tag/0.5.4
 - https://github.com/astral-sh/uv/releases/tag/0.5.5


Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける uv パッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2024-8568f9cd5e

プラグインの詳細

深刻度: High

ID: 212152

ファイル名: fedora_2024-8568f9cd5e.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2024/12/7

更新日: 2025/2/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-53899

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 7

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:fedoraproject:fedora:41, p-cpe:/a:fedoraproject:fedora:uv

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/11/27

脆弱性公開日: 2024/11/24

参照情報

CVE: CVE-2024-53899