Linux Distros のパッチ未適用の脆弱性: CVE-2019-18348

medium Nessus プラグイン ID 222759

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

- Python 2.x~2.7.17のurllib2とPython 3.x~3.8.0のurllibで問題が見つかりました。
\r\n (具体的にはURLのホストコンポーネント内) の後ろにHTTPヘッダーが続くurllib.request.urlopenの最初の引数で示されているように、攻撃者がurlパラメーターを制御する場合にCRLFインジェクションが可能になります。これは、CVE-2019-9740 クエリ文字列問題および CVE-2019-9947 パス文字列問題に似ています
(glibc で CVE-2016-10739 が修正されている場合は、これを悪用できません)。これは v2.7.18、v2.7.18rc1 で修正されました。
v3.5.10、v3.5.10rc1; v3.6.11、v3.6.11rc1、v3.6.12; v3.7.8、v3.7.8rc1、v3.7.9; v3.8.3、v3.8.3rc1、v3.8.4、v3.8.4rc1、v3.8.5、v3.8.6、v3.8.6rc1。(CVE-2019-18348)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://access.redhat.com/security/cve/cve-2019-18348

プラグインの詳細

深刻度: Medium

ID: 222759

ファイル名: unpatched_CVE_2019_18348.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2025/3/4

更新日: 2025/8/20

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2019-18348

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:centos:centos:python, p-cpe:/a:redhat:enterprise_linux:python-devel, p-cpe:/a:redhat:enterprise_linux:tkinter, p-cpe:/a:redhat:enterprise_linux:python3, p-cpe:/a:redhat:enterprise_linux:python-test, cpe:/o:centos:centos:7, p-cpe:/a:centos:centos:python3-devel, p-cpe:/a:centos:centos:python-tools, p-cpe:/a:centos:centos:python3-tkinter, p-cpe:/a:redhat:enterprise_linux:python3-idle, p-cpe:/a:centos:centos:python3-libs, p-cpe:/a:redhat:enterprise_linux:python, p-cpe:/a:centos:centos:python3-test, p-cpe:/a:redhat:enterprise_linux:python3-devel, p-cpe:/a:redhat:enterprise_linux:python-debug, p-cpe:/a:redhat:enterprise_linux:python3-test, p-cpe:/a:redhat:enterprise_linux:python-tools, p-cpe:/a:centos:centos:python3-debug, p-cpe:/a:centos:centos:tkinter, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:centos:centos:python-debug, p-cpe:/a:centos:centos:python3-idle, p-cpe:/a:redhat:enterprise_linux:python-libs, p-cpe:/a:centos:centos:python-devel, p-cpe:/a:centos:centos:python3, p-cpe:/a:centos:centos:python-test, p-cpe:/a:redhat:enterprise_linux:python3-libs, p-cpe:/a:redhat:enterprise_linux:python3-tkinter, p-cpe:/a:centos:centos:python-libs, p-cpe:/a:redhat:enterprise_linux:python3-debug

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2019/10/23

参照情報

CVE: CVE-2019-18348