Debian dla-4041 : python-aiohttp-doc - セキュリティ更新
medium Nessus プラグイン ID 214900
Language:
概要
リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。説明
リモートの Debian 11 ホストには、dla-4041 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-4041-1 [email protected] https://www.debian.org/lts/security/Jochen Sprickerhof 2025 年 2 月 3 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------
パッケージ : python-aiohttp バージョン : 3.7.4-1+deb11u1 CVE ID : CVE-2023-47627 CVE-2023-47641 CVE-2023-49081 CVE-2023-49082 CVE-2024-23334 CVE-2024-23829 CVE-2024-27306 CVE-2024-30251 CVE-2024-52304 Debian バグ :
asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークである aiohttp でいくつかの問題が見つかりました。これらの問題は、インデックスページの HTTP パーサー、リンクトラバーサル、および XSS に関連しています。
CVE-2023-47627
AIOHTTP の HTTP パーサーには、ヘッダー解析に関する多くの問題があり、リクエストのスマグリングを引き起こす可能性があります。このパーサーは、AIOHTTP_NO_EXTENSIONS が有効な場合 (または事前に構築されたホイールを使用していない場合) にのみ使用されます。
CVE-2023-47641
影響を受ける aiohttp のバージョンには、http プロトコルの一貫性のない解釈に関するセキュリティ脆弱性があります。HTTP/1.1 は永続的なプロトコルです。Content-Length(CL) と Transfer-Encoding(TE) の両方のヘッダー値が存在する場合、HTTP を解析する 2 つのエンティティが間違った解釈をすることになり、この間違った解釈で他のソケットを汚染する可能性があります。考えられる概念実証 (POC) は、CL と TE ヘッダーの両方を受け入れるリバースプロキシ (フロントエンド) と、aiohttp をバックエンドとする設定が考えられます。aiohttp は chunked のあるものを解析するため、chunked123 を TE として渡すことができ、フロントエンドエンティティはこのヘッダーを無視して Content-Length を解析します。この脆弱性の影響は、認証ヘッダーを渡すように他のユーザーにソケットをポイズニングし、あらゆるプロキシルールをバイパスする可能性があることです。また、オープンリダイレクトが存在する場合、攻撃者がそれを組み合わせて、ランダムなユーザーを別のウェブサイトにリダイレクトし、リクエストをログする可能性があります。
CVE-2023-49081
不適切な検証により、攻撃者が HTTP バージョンをコントロールしている場合に、攻撃者が HTTP リクエストを変更したり (新しいヘッダーを挿入するなど)、新しい HTTP リクエストを作成したりできるようになっています。この脆弱性は、攻撃者がリクエストの HTTP バージョンをコントロールできる場合にのみ発生します。
CVE-2023-49082
不適切な検証により、攻撃者が HTTP メソッドをコントロールしている場合、攻撃者が HTTP リクエストを変更 (新しいヘッダーの挿入など) したり、新しい HTTP リクエストを作成したりすることが可能です。この脆弱性は、攻撃者がリクエストの HTTP メソッド (GET、POST など) をコントロールできる場合にのみ発生します。攻撃者が HTTP バージョンのリクエストをコントロールできる場合、リクエストを変更することが可能です (リクエストスマグリング)。
CVE-2024-23334
aiohttp をウェブサーバーとして使用し、静的ルートを設定する場合、静的ファイルのルートパスを指定する必要があります。
さらに、静的ルートディレクトリ外のシンボリックリンクをフォローするかどうかが「follow_symlinks」オプションによって決定される可能性があります。
「follow_symlinks」が True に設定されている場合、ルートディレクトリ内でファイルの読み取りが行われているかどうかを確認する検証が行われません。このため、ディレクトリトラバーサルの脆弱性が発生し、シンボリックリンクが存在しない場合でもシステム上の任意のファイルへの認証されていないアクセスが発生する可能性があります。follow_symlinks を無効にし、リバースプロキシを使用することが推奨されます。
CVE-2024-23829
Python HTTP パーサーのセキュリティに敏感な部分は、許容される文字セットのマイナーな違いを保持していました。このため、追加のリクエストのインジェクションから保護するために、エラー処理をトリガーしてプロキシのフレーム境界を確実に一致させる必要があります。さらに、検証を実行すると、他の無効な形式の入力の処理と一貫して処理されない例外が発生する可能性があります。インターネット標準の要求よりも寛大に処理すると、デプロイメント環境によってはリクエストのスマグリングが助長される可能性があります。処理されない例外により、アプリケーションサーバーやそのロギング機能で過剰なリソース消費が発生する可能性があります。
CVE-2024-27306
静的ファイル処理のインデックスページに XSS の脆弱性が存在します。
CVE-2024-30251
影響を受けるバージョンでは、攻撃者が特別に細工された POST (マルチパート/フォームデータ) リクエストを送信する可能性があります。aiohttp サーバーがそれを処理するとき、サーバーは無限ループに入り、それ以上リクエストを処理できません。攻撃者は、1 つのリクエストを送信した後、アプリケーションによるリクエストの処理を停止できます。
CVE-2024-52304
Python パーサーはチャンク拡張で改行を不適切に解析します。これにより、特定の条件下でリクエストスマグリングの脆弱性が発生する可能性があります。純粋な Python バージョンの aiohttp がインストールされている場合 (つまり、
通常の C 拡張なしで)、または「AIOHTTP_NO_EXTENSIONS」が有効な場合、攻撃者がリクエストスマグリング攻撃を実行して、特定のファイアウォールやプロキシ保護をバイパスする可能性があります。
Debian 11 bullseye においては、これらの問題はバージョン 3.7.4-1+deb11u1 で修正されました。
お使いの python-aiohttp パッケージをアップグレードすることを推奨します。
python-aiohttp の詳細なセキュリティステータスについては、次のセキュリティトラッカーページを参照してください
https://security-tracker.debian.org/tracker/python-aiohttp
Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 署名
Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
python-aiohttp-doc パッケージをアップグレードしてください。参考資料
http://www.nessus.org/u?4b73efdc
https://security-tracker.debian.org/tracker/CVE-2023-47627
https://security-tracker.debian.org/tracker/CVE-2023-47641
https://security-tracker.debian.org/tracker/CVE-2023-49081
https://security-tracker.debian.org/tracker/CVE-2023-49082
https://security-tracker.debian.org/tracker/CVE-2024-23334
https://security-tracker.debian.org/tracker/CVE-2024-23829
https://security-tracker.debian.org/tracker/CVE-2024-27306
https://security-tracker.debian.org/tracker/CVE-2024-30251
プラグインの詳細
深刻度: Medium
ID: 214900
ファイル名: debian_DLA-4041.nasl
バージョン: 1.2
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2025/2/3
更新日: 2025/8/18
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 6.1
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS スコアのソース: CVE-2024-52304
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
リスクファクター: Medium
Base Score: 6.3
Threat Score: 2.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
脆弱性情報
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:python3-aiohttp, p-cpe:/a:debian:debian_linux:python3-aiohttp-dbg, p-cpe:/a:debian:debian_linux:python-aiohttp-doc
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2025/2/3
脆弱性公開日: 2023/11/14
参照情報
CVE: CVE-2023-47627, CVE-2023-47641, CVE-2023-49081, CVE-2023-49082, CVE-2024-23334, CVE-2024-23829, CVE-2024-27306, CVE-2024-30251, CVE-2024-52304