Linux Distros のパッチ未適用の脆弱性: CVE-2023-37276
high Nessus プラグイン ID 226202
Language:
概要
Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。説明
Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。- aiohttp は、asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークです。aiohttp v3.8.4 以前は、llhttp v6.0.6 にバンドルされています。脆弱なコードは、実行可能な場合には、aiohttp の HTTP リクエストパーサーに使用されます。これは、ホイールからインストールする際のデフォルトケースです。この脆弱性は、HTTP サーバーとして aiohttp を使用しているユーザー (「aiohttp.Application」など) にのみ影響します。aiohttp を HTTP クライアントライブラリとして使用している場合 (「aiohttp.ClientSession」など) は、この脆弱性の影響を受けません。細工された HTTP リクエストを送信すると、サーバーが HTTP ヘッダー値の 1 つを誤って解釈し、HTTP リクエストのスマグリングを引き起こす可能性があります。
この問題は、バージョン 3.8.5で対処されています。ユーザーはアップグレードすることをお勧めします。アップグレードできないユーザーは、環境変数として、「AIOHTTP_NO_EXTENSIONS=1」を使用して aiohttp を再インストールし、llhttp HTTP リクエストパーサーの実装を無効にすることができます。純粋な Python の実装は脆弱ではありません。(CVE-2023-37276)
Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。
ソリューション
現時点で既知の解決策はありません。プラグインの詳細
深刻度: High
ID: 226202
ファイル名: unpatched_CVE_2023_37276.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: Misc.
公開日: 2025/3/5
更新日: 2025/3/5
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 6.1
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS スコアのソース: CVE-2023-37276
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
脆弱性公開日: 2023/7/19
参照情報
CVE: CVE-2023-37276