Ubuntu 14.04 LTS / 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.10 : Python の脆弱性 (USN-7488-1)

medium Nessus プラグイン ID 235360

Language:

概要

リモート Ubuntu ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの Ubuntu 14.04LTS / 16.04LTS / 18.04LTS / 20.04LTS / 22.04LTS / 24.10ホストには、USN-7488-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

Python が括弧で囲まれたホストの解析を誤って処理していることが検出されました。リモートの攻撃者がこの問題を利用して、サーバー側リクエスト偽造 (SSRF) 攻撃を実行する可能性があります。この問題の影響を受けるのは、Ubuntu 14.04 LTS の python 2.7 および python3.4、Ubuntu 16.04 LTS の python2.7、Ubuntu 18.04 LTS の python2.7、python3.6、python3.7、python3.8、Ubuntu 20.04 LTS の python2.7 および python3.9、Ubuntu 22.04 LTS python2.7 および python3.11 のみです。(CVE-2024-11168)

Python が特定の tarfile ヘッダーを解析する際に過剰なバックトラッキングを許可することがわかりました。リモートの攻撃者がこの問題を悪用して Python に過剰なリソースを消費させ、サービス拒否を引き起こす可能性があります。この問題の影響を受けるのは、Ubuntu 14.04 LTS の python3.4、Ubuntu 18.04 LTS の python3.6、python3.7、python3.8、Ubuntu 20.04 LTS の python3.9、Ubuntu 22.04 LTS の python3.11 のみです。
(CVE-2024-6232)

Python が venv モジュールを使用する際、引用符で囲まれたパス名を誤って処理していることが判明しました。仮想環境を制御できるローカル攻撃者は、この問題を利用して、仮想環境がアクティブ化された際に任意のコードを実行できる可能性があります。この問題の影響を受けるのは、Ubuntu 14.04 LTS の python3.4、Ubuntu 18.04 LTS の python3.6、python3.7、python3.8、Ubuntu 20.04 LTS の python3.9、Ubuntu 22.04 LTS の python3.11、Ubuntu 24.10 の python3.13 のみです。(CVE-2024-9287)

Tenable は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://ubuntu.com/security/notices/USN-7488-1

プラグインの詳細

深刻度: Medium

ID: 235360

ファイル名: ubuntu_USN-7488-1.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

ファミリー: Ubuntu Local Security Checks

公開日: 2025/5/6

更新日: 2025/5/6

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-9287

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 7

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 6.3

Threat Score: 2.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:L/SA:N

CVSS スコアのソース: CVE-2024-11168

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:libpython3.13-dev, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:python2.7-examples, p-cpe:/a:canonical:ubuntu_linux:libpython3.11, p-cpe:/a:canonical:ubuntu_linux:python3.13-dev, p-cpe:/a:canonical:ubuntu_linux:libpython2.7-dev, p-cpe:/a:canonical:ubuntu_linux:idle-python3.11, p-cpe:/a:canonical:ubuntu_linux:python2.7-dev, p-cpe:/a:canonical:ubuntu_linux:idle-python3.7, p-cpe:/a:canonical:ubuntu_linux:libpython3.8-dev, p-cpe:/a:canonical:ubuntu_linux:python3.13-venv, cpe:/o:canonical:ubuntu_linux:14.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:python3.11-venv, p-cpe:/a:canonical:ubuntu_linux:python3.9-venv, p-cpe:/a:canonical:ubuntu_linux:python3.4-venv, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:python3.9-minimal, p-cpe:/a:canonical:ubuntu_linux:libpython3.4-testsuite, p-cpe:/a:canonical:ubuntu_linux:python3.7, p-cpe:/a:canonical:ubuntu_linux:python3.9-dev, p-cpe:/a:canonical:ubuntu_linux:libpython2.7, p-cpe:/a:canonical:ubuntu_linux:libpython3.11-stdlib, p-cpe:/a:canonical:ubuntu_linux:python3.6, p-cpe:/a:canonical:ubuntu_linux:python3.7-minimal, p-cpe:/a:canonical:ubuntu_linux:python3.8-dev, p-cpe:/a:canonical:ubuntu_linux:python3.13, p-cpe:/a:canonical:ubuntu_linux:python3.13-examples, p-cpe:/a:canonical:ubuntu_linux:python3.6-examples, p-cpe:/a:canonical:ubuntu_linux:python3.13-nopie, p-cpe:/a:canonical:ubuntu_linux:python3.9-examples, p-cpe:/a:canonical:ubuntu_linux:python3.11-minimal, p-cpe:/a:canonical:ubuntu_linux:libpython3.11-testsuite, p-cpe:/a:canonical:ubuntu_linux:python3.4, p-cpe:/a:canonical:ubuntu_linux:python3.13-gdbm, p-cpe:/a:canonical:ubuntu_linux:idle-python3.8, p-cpe:/a:canonical:ubuntu_linux:python3.13-full, p-cpe:/a:canonical:ubuntu_linux:python3.11-nopie, p-cpe:/a:canonical:ubuntu_linux:python3.4-examples, p-cpe:/a:canonical:ubuntu_linux:libpython3.7-stdlib, p-cpe:/a:canonical:ubuntu_linux:libpython3.6-testsuite, p-cpe:/a:canonical:ubuntu_linux:python3.7-dev, p-cpe:/a:canonical:ubuntu_linux:python2.7-minimal, p-cpe:/a:canonical:ubuntu_linux:idle-python3.4, p-cpe:/a:canonical:ubuntu_linux:libpython3.11-minimal, p-cpe:/a:canonical:ubuntu_linux:python3.8, p-cpe:/a:canonical:ubuntu_linux:python3.7-examples, p-cpe:/a:canonical:ubuntu_linux:libpython3.9-testsuite, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:libpython3.13-stdlib, p-cpe:/a:canonical:ubuntu_linux:libpython3.4-stdlib, p-cpe:/a:canonical:ubuntu_linux:python3.13-minimal, p-cpe:/a:canonical:ubuntu_linux:libpython3.13-minimal, p-cpe:/a:canonical:ubuntu_linux:idle-python3.9, p-cpe:/a:canonical:ubuntu_linux:libpython3.7-testsuite, p-cpe:/a:canonical:ubuntu_linux:libpython3.9-dev, cpe:/o:canonical:ubuntu_linux:24.10, p-cpe:/a:canonical:ubuntu_linux:python3.6-venv, p-cpe:/a:canonical:ubuntu_linux:libpython3.4-dev, p-cpe:/a:canonical:ubuntu_linux:python3.9-full, p-cpe:/a:canonical:ubuntu_linux:libpython3.13-testsuite, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:libpython2.7-testsuite, p-cpe:/a:canonical:ubuntu_linux:python3.9, p-cpe:/a:canonical:ubuntu_linux:libpython3.6-minimal, p-cpe:/a:canonical:ubuntu_linux:libpython3.9-stdlib, p-cpe:/a:canonical:ubuntu_linux:libpython3.8-minimal, p-cpe:/a:canonical:ubuntu_linux:python3.4-minimal, p-cpe:/a:canonical:ubuntu_linux:libpython3.9-minimal, p-cpe:/a:canonical:ubuntu_linux:python3.7-venv, p-cpe:/a:canonical:ubuntu_linux:python3.6-dev, p-cpe:/a:canonical:ubuntu_linux:python3.8-minimal, p-cpe:/a:canonical:ubuntu_linux:python3.8-examples, p-cpe:/a:canonical:ubuntu_linux:python3.11-examples, p-cpe:/a:canonical:ubuntu_linux:python3.4-dev, p-cpe:/a:canonical:ubuntu_linux:libpython2.7-stdlib, p-cpe:/a:canonical:ubuntu_linux:libpython3.11-dev, p-cpe:/a:canonical:ubuntu_linux:libpython3.7, p-cpe:/a:canonical:ubuntu_linux:idle-python3.6, p-cpe:/a:canonical:ubuntu_linux:libpython3.8-testsuite, p-cpe:/a:canonical:ubuntu_linux:python3.13-tk, p-cpe:/a:canonical:ubuntu_linux:libpython3.4-minimal, p-cpe:/a:canonical:ubuntu_linux:libpython3.9, p-cpe:/a:canonical:ubuntu_linux:libpython3.6, p-cpe:/a:canonical:ubuntu_linux:python3.6-minimal, p-cpe:/a:canonical:ubuntu_linux:libpython3.13, p-cpe:/a:canonical:ubuntu_linux:idle-python2.7, p-cpe:/a:canonical:ubuntu_linux:libpython2.7-minimal, p-cpe:/a:canonical:ubuntu_linux:libpython3.7-minimal, p-cpe:/a:canonical:ubuntu_linux:python3.11-full, p-cpe:/a:canonical:ubuntu_linux:libpython3.6-dev, p-cpe:/a:canonical:ubuntu_linux:idle-python3.13, p-cpe:/a:canonical:ubuntu_linux:libpython3.8, p-cpe:/a:canonical:ubuntu_linux:libpython3.6-stdlib, p-cpe:/a:canonical:ubuntu_linux:python3.11, p-cpe:/a:canonical:ubuntu_linux:libpython3.4, p-cpe:/a:canonical:ubuntu_linux:python3.11-dev, p-cpe:/a:canonical:ubuntu_linux:python2.7, p-cpe:/a:canonical:ubuntu_linux:libpython3.7-dev, p-cpe:/a:canonical:ubuntu_linux:python3.8-venv, p-cpe:/a:canonical:ubuntu_linux:libpython3.8-stdlib

必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/5/6

脆弱性公開日: 2024/9/3

参照情報

CVE: CVE-2024-11168, CVE-2024-6232, CVE-2024-9287

USN: 7488-1