Debian dla-4041 : python-aiohttp-doc - セキュリティ更新

medium Nessus プラグイン ID 214900

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 11 ホストには、dla-4041 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-4041-1 [email protected] https://www.debian.org/lts/security/Jochen Sprickerhof 2025 年 2 月 3 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

パッケージ : python-aiohttp バージョン : 3.7.4-1+deb11u1 CVE ID : CVE-2023-47627 CVE-2023-47641 CVE-2023-49081 CVE-2023-49082 CVE-2024-23334 CVE-2024-23829 CVE-2024-27306 CVE-2024-30251 CVE-2024-52304 Debian バグ :

asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークである aiohttp でいくつかの問題が見つかりました。これらの問題は、インデックスページの HTTP パーサー、リンクトラバーサル、および XSS に関連しています。

CVE-2023-47627

AIOHTTP の HTTP パーサーには、ヘッダー解析に関する多くの問題があり、リクエストのスマグリングを引き起こす可能性があります。このパーサーは、AIOHTTP_NO_EXTENSIONS が有効な場合 (または事前に構築されたホイールを使用していない場合) にのみ使用されます。

CVE-2023-47641

影響を受ける aiohttp のバージョンには、http プロトコルの一貫性のない解釈に関するセキュリティ脆弱性があります。HTTP/1.1 は永続的なプロトコルです。Content-Length(CL) と Transfer-Encoding(TE) の両方のヘッダー値が存在する場合、HTTP を解析する 2 つのエンティティが間違った解釈をすることになり、この間違った解釈で他のソケットを汚染する可能性があります。考えられる概念実証 (POC) は、CL と TE ヘッダーの両方を受け入れるリバースプロキシ (フロントエンド) と、aiohttp をバックエンドとする設定が考えられます。aiohttp は chunked のあるものを解析するため、chunked123 を TE として渡すことができ、フロントエンドエンティティはこのヘッダーを無視して Content-Length を解析します。この脆弱性の影響は、認証ヘッダーを渡すように他のユーザーにソケットをポイズニングし、あらゆるプロキシルールをバイパスする可能性があることです。また、オープンリダイレクトが存在する場合、攻撃者がそれを組み合わせて、ランダムなユーザーを別のウェブサイトにリダイレクトし、リクエストをログする可能性があります。

CVE-2023-49081

不適切な検証により、攻撃者が HTTP バージョンをコントロールしている場合に、攻撃者が HTTP リクエストを変更したり (新しいヘッダーを挿入するなど)、新しい HTTP リクエストを作成したりできるようになっています。この脆弱性は、攻撃者がリクエストの HTTP バージョンをコントロールできる場合にのみ発生します。

CVE-2023-49082

不適切な検証により、攻撃者が HTTP メソッドをコントロールしている場合、攻撃者が HTTP リクエストを変更 (新しいヘッダーの挿入など) したり、新しい HTTP リクエストを作成したりすることが可能です。この脆弱性は、攻撃者がリクエストの HTTP メソッド (GET、POST など) をコントロールできる場合にのみ発生します。攻撃者が HTTP バージョンのリクエストをコントロールできる場合、リクエストを変更することが可能です (リクエストスマグリング)。

CVE-2024-23334

aiohttp をウェブサーバーとして使用し、静的ルートを設定する場合、静的ファイルのルートパスを指定する必要があります。
さらに、静的ルートディレクトリ外のシンボリックリンクをフォローするかどうかが「follow_symlinks」オプションによって決定される可能性があります。
「follow_symlinks」が True に設定されている場合、ルートディレクトリ内でファイルの読み取りが行われているかどうかを確認する検証が行われません。このため、ディレクトリトラバーサルの脆弱性が発生し、シンボリックリンクが存在しない場合でもシステム上の任意のファイルへの認証されていないアクセスが発生する可能性があります。follow_symlinks を無効にし、リバースプロキシを使用することが推奨されます。

CVE-2024-23829

Python HTTP パーサーのセキュリティに敏感な部分は、許容される文字セットのマイナーな違いを保持していました。このため、追加のリクエストのインジェクションから保護するために、エラー処理をトリガーしてプロキシのフレーム境界を確実に一致させる必要があります。さらに、検証を実行すると、他の無効な形式の入力の処理と一貫して処理されない例外が発生する可能性があります。インターネット標準の要求よりも寛大に処理すると、デプロイメント環境によってはリクエストのスマグリングが助長される可能性があります。処理されない例外により、アプリケーションサーバーやそのロギング機能で過剰なリソース消費が発生する可能性があります。

CVE-2024-27306

静的ファイル処理のインデックスページに XSS の脆弱性が存在します。

CVE-2024-30251

影響を受けるバージョンでは、攻撃者が特別に細工された POST (マルチパート/フォームデータ) リクエストを送信する可能性があります。aiohttp サーバーがそれを処理するとき、サーバーは無限ループに入り、それ以上リクエストを処理できません。攻撃者は、1 つのリクエストを送信した後、アプリケーションによるリクエストの処理を停止できます。

CVE-2024-52304

Python パーサーはチャンク拡張で改行を不適切に解析します。これにより、特定の条件下でリクエストスマグリングの脆弱性が発生する可能性があります。純粋な Python バージョンの aiohttp がインストールされている場合 (つまり、
通常の C 拡張なしで)、または「AIOHTTP_NO_EXTENSIONS」が有効な場合、攻撃者がリクエストスマグリング攻撃を実行して、特定のファイアウォールやプロキシ保護をバイパスする可能性があります。

Debian 11 bullseye においては、これらの問題はバージョン 3.7.4-1+deb11u1 で修正されました。

お使いの python-aiohttp パッケージをアップグレードすることを推奨します。

python-aiohttp の詳細なセキュリティステータスについては、次のセキュリティトラッカーページを参照してください
https://security-tracker.debian.org/tracker/python-aiohttp

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 署名

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

python-aiohttp-doc パッケージをアップグレードしてください。

参考資料

http://www.nessus.org/u?4b73efdc

https://security-tracker.debian.org/tracker/CVE-2023-47627

https://security-tracker.debian.org/tracker/CVE-2023-47641

https://security-tracker.debian.org/tracker/CVE-2023-49081

https://security-tracker.debian.org/tracker/CVE-2023-49082

https://security-tracker.debian.org/tracker/CVE-2024-23334

https://security-tracker.debian.org/tracker/CVE-2024-23829

https://security-tracker.debian.org/tracker/CVE-2024-27306

https://security-tracker.debian.org/tracker/CVE-2024-30251

https://security-tracker.debian.org/tracker/CVE-2024-52304

https://packages.debian.org/source/bullseye/python-aiohttp

プラグインの詳細

深刻度: Medium

ID: 214900

ファイル名: debian_DLA-4041.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/2/3

更新日: 2025/2/3

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS スコアのソース: CVE-2024-23334

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 6.3

Threat Score: 2.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2024-52304

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:python-aiohttp-doc, p-cpe:/a:debian:debian_linux:python3-aiohttp-dbg, p-cpe:/a:debian:debian_linux:python3-aiohttp, cpe:/o:debian:debian_linux:11.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/2/3

脆弱性公開日: 2023/11/14

参照情報

CVE: CVE-2023-47627, CVE-2023-47641, CVE-2023-49081, CVE-2023-49082, CVE-2024-23334, CVE-2024-23829, CVE-2024-27306, CVE-2024-30251, CVE-2024-52304