検出

Fedora 43fastapi-cli / fastapi-cloud-cli / gherkin / Maturin / etc2025-4154ea83d0

high Nessus プラグイン ID 272299

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 43 ホストには、FEDORA-2025-4154ea83d0 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 ## uv / python-uv-build 0.9.5

 https://github.com/astral-sh/uv/blob/0.9.5/CHANGELOG.md

 ----

 ## ruff 0.14.2

 https://github.com/astral-sh/ruff/blob/0.14.2/CHANGELOG.md

 ----

 ## Pydantic 2.12.3

 [ブログ投稿]https://pydantic.dev/articles/pydantic-v2-12-release

 ----

 ## maturin 1.9.6

 https://github.com/PyO3/maturin/blob/v1.9.6/Changelog.md

 ----

 ## python-typing-inspection 0.4.2 2025 年 10 月 1 日

 - 「typing_objects.is_noextraitems()」を追加します

 ----

 ## python-jiter 0.11.0

 https://github.com/pydantic/jiter/releases/tag/v0.11.0

 ----

 ## python-pydantic-extra-types 2.10.6

 https://github.com/pydantic/pydantic-extra-types/releases/tag/v2.10.6

 ----

 # Typer

 ## 0.20.0

 ### 機能

 * デフォルトで誤字に対するコマンドの提案を有効にします。

 ### アップグレード

 * Python 向けの公式サポートを追加します 3.14

 ### Internal

 分類されたマイナーな拡張機能。

 ----

 # FastAPI

 ## 0.120.1

 ### アップグレード

 * Starlet を <`0.50.0` に更新します。

 ### Internal

 * 「license」および「license-files」を「pyproject.toml」に追加し、「classifiers」から「License」を削除します。

 ## 0.120.0

 このリリースには重要な変更や重大な変更はありません。

内部参照ドキュメントが「typing_extensions.Doc」の代わりに「annotated_doc.Doc」を使用するようになりました。これにより、新しい非常に小さい依存関係が追加されます。[「annotated-doc」]https://github.com/fastapi/annotated-doc]のドキュメントユーティリティクラス。

 私は「typing_extensions.Doc」が廃止され、「typing_extensions」からいくつかの時点で削除されると予想しています。そのため、新しい「annotated-doc」マイクロパッケージがあります。これについて詳しくは、[`annotated-doc`](https://github.com/fastapi/annotated-doc) の repo で詳細を読み取ることができます。

 この新規バージョン「0.120.0」には、そのユーティリティクラス「Doc」用の新しいホームパッケージへの移行だけが含まれます。

 ### Translations, Internal

 分類された改善。

 ## 0.119.1

 ### の修正

 * Python 3.14 および Pydantic 2.12.1の内部 Pydantic v1 互換性警告を修正。

 ### Docs、 Internal

 分類された改善。

 ## 0.119.0

 FastAPI は現時点ではPydantic v2 モデルと「pydantic.v1」モデルの両方を同じアプリで同時にサポートするようになりました。これにより、Pydantic v1 を使用している FastAPI アプリケーションがゆっくりと迅速に対応できるようになります。
 **Pydantic v2 に移行します**。

 ### 機能

 * 同じアプリで Pydantic v1 と v2 モデルが混在している「from pydantic.v1 import BaseModel」のサポートを追加します。

 ## 0.118.3

 ### アップグレード

 - Python に対する公式サポートを追加します 3.14

 ## 0.118.2

 ### の修正

 *本文フィールドとして認識されないタグ付き識別子を修正。

 ## 0.118.1

 ### アップグレード

 * Pydantic との互換性を確保します 2.12.0。

 ### ドキュメント、変換、内部

 分類されたバグ修正と拡張機能。

 ## 0.118.0

 ### の修正

 * 「yield」または「UploadFile」との依存関係のある「StreamingResponse」のサポートを修正し、応答が完了した後に閉じます。

 FastAPI 0.118.0より前では、「yield」での依存関係を使用した場合、*path 操作関数* が返された後、応答を送信する前に終了コードが実行されていました。

 この変更はまた、「StreamingResponse」を返した場合、「yield」での依存関係の終了コードがすでに実行されていたことを意味しました。

 たとえば、「yield」との依存関係にあるデータベースセッションを利用した場合、そのセッションは「yield」の後の終了コードにおいてすでにクローズされているため、データのストリーミング中に「StreamingResponse」はそのセッションを使用できません。

 この挙動は 0.118.0で戻され、応答が送信された後に「yield」の後に終了コードが実行されるようになりました。

 詳細については、[高度な依存関係 - 「yield」、「HTTPException」、「except」およびバックグラウンドタスクを伴う依存関係のドキュメントで確認できますhttps://fastapi.tiangolo.com/advanced/advanced-dependencies#dependencies-with-yield-httpexception-except-and-background-tasks] クライアントに応答を返す前に、データベースセッションを早く閉じたい場合にできることを含めています。

 ### ドキュメント、変換、内部

 分類されたバグ修正と拡張機能。

 ----

 # Starlet

 ## 0.49.1 2025 年 10 月 28 日

 このリリースでは、「FileResponse」の「Range」ヘッダーの解析ロジックにあるセキュリティの脆弱性が修正されます。

 完全なセキュリティアドバイザリを表示できます [GHSA-7f5h-v6xp-fcq8]https://github.com/Kludex/starlette/security/advisories/GHSA-7f5h-v6xp-fcq8]

 #### 修正済み

 * HTTP 範囲の解析ロジックを最適化します。

 ## 0.49.0 2025 年 10 月 28 日

 #### 追加

 * 「encoding」パラメーターを「Config」クラスに追加します。
 * 「Request.cookies」の複数のクッキーヘッダーをサポートします。
 * 「WebSocketEndpoint」エンコーディング値には「Literal」タイプを使用します。

 #### 変更日

 * 「BaseHTTPMiddleware」を使用する際は「Middleware」の例外コンテキストを汚染しないでください。

 ----

 # FastAPI CLI

 ## 0.0.14

 ### アップグレード

 * Python および 3.143.13 のサポートを追加します。

 ----

 # FastAPI Cloud CLI

 ## 0.3.1

 ### の修正

 * ログイン URL が正しくリンクされていない問題を修正します。

 ### リファクター

 * env vars 作成をリファクタリングします。
 * 展開ワークフローから環境変数を削除します。

 ### Internal

 * デバッグモードでアーカイブにログファイルが追加されます。
 * .fastapicloudignore が .gitignore をオーバーライドできることを確認するためのテストを追加します。

 ## 0.3.0

 ### 機能

 - 「.fastapicloudignore」ファイルのサポートを追加します。

 ## 0.2.1

 ### 機能

 * 検証ステータス用のサポートを追加します。

 ----

 ## `python-ignore`

 ### 0.7.1

 - オーバーライドのサポートを追加します

 ### 0.7.0

 - PyO3 を に更新してください 0.26

 ----

 # python-inline-snapshot

 ## 0.30.1 2025-10-20

 修正済み
 -----

 - json.dump の ascii を無効にし、外部ファイルの非 ASCII 文字をサポートすることを無効にします

 ## 0.30.0 2025-10-15

 追加
 -----

 - 「test-dir」構成オプションは現在、パスのリストにすることもできます
 - 公式のPython 3.14 サポートを追加

 ## 0.29.4 2025-10-13

 変更済み
 -------

 - 「External.run_inline()」は現在、「External.run_pytest」と同じロジックを使用します。

 修正済み
 -----

 - inline-snapshot は様々な Python ファイルエンコーディングをサポートするようになり、「# -*-coding: windows-1251 -*-` などのエンコーディングコメントを認識します

 ## 0.29.3 2025-10-04

 修正済み
 -----

 - xdist が適切に検出されるようになりました。

 ## 0.29.2 2025-10-01

 修正済み
 -----

 - 無効なスナップショットを引き起こしていた黒色の文字列フォーマットを修正しました


 ----

 ## ruby-regex 1.11.3 2025 年 9 月 25 日

 これは、場合によってはメモリ使用率が改善されるマイナーなパッチリリースです。

 **改善**

 * いくつかのスポットで過剰なメモリ容量をトリミングすることで、メモリの使用率を改善します。

 ----

 ## ruby-speed 0.17.0

 -ftコンフィグレーション関数で浮動小数点からさらに新しいものを追加します
 - Date, Time および DateTime でコピーを派生します

 ----

 ## Rust-astral-tokio-tar 0.5.6

 * PAX/ustarヘッダーで不一致のサイズ情報を含むtarアーカイブを読み込むときのパーサーの非同期の脆弱性を修正しました。

 この脆弱性は、[GHSA-j5gw-2vrg-8fgx]https://github.com/advisories/GHSA-j5gw-2vrg-8fgxおよび CVE-2025-62518として追跡されています。

 ----

 - 「rust-regex-automatic」を に更新します 0.4.11
 - Update `rust-serde_json` to 1.0.145
 - 「rust-tikv-jemallocator」および「rust-tikv-jemalloc-sys」を に更新します 0.6.1
 - 「python-pydantic-core」を に更新します 2.41.4
 - 「openapi-python-client」を に更新し 0.26.2 、パッチを適用し、「ruff」 0.14 および「typer」を許可します 0.20
 - 「python-cron-converter」用の初期パッケージ
 - 「ruff」および「uv」用の多数の新しい Rust ライブラリ依存関係の初期パッケージ












Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2025-4154ea83d0

プラグインの詳細

深刻度: High

ID: 272299

ファイル名: fedora_2025-4154ea83d0.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/11/5

更新日: 2025/11/5

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9.4

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS スコアのソース: CVE-2025-62518

CVSS v3

リスクファクター: High

基本値: 8.1

現状値: 7.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:rust-reqsign-aws-v4, p-cpe:/a:fedoraproject:fedora:rust-reqsign, p-cpe:/a:fedoraproject:fedora:maturin, p-cpe:/a:fedoraproject:fedora:openapi-python-client, p-cpe:/a:fedoraproject:fedora:rust-get-size2, p-cpe:/a:fedoraproject:fedora:python-pydantic-core, p-cpe:/a:fedoraproject:fedora:python-rignore, p-cpe:/a:fedoraproject:fedora:rust-jiter, p-cpe:/a:fedoraproject:fedora:rust-manyhow, p-cpe:/a:fedoraproject:fedora:rust-reqsign-core, p-cpe:/a:fedoraproject:fedora:python-pydantic-extra-types, p-cpe:/a:fedoraproject:fedora:fastapi-cli, cpe:/o:fedoraproject:fedora:43, p-cpe:/a:fedoraproject:fedora:rust-tikv-jemalloc-sys, p-cpe:/a:fedoraproject:fedora:python-typer, p-cpe:/a:fedoraproject:fedora:python-pydantic, p-cpe:/a:fedoraproject:fedora:python-inline-snapshot, p-cpe:/a:fedoraproject:fedora:rust-reqsign-command-execute-tokio, p-cpe:/a:fedoraproject:fedora:rust-collection_literals, p-cpe:/a:fedoraproject:fedora:rust-reqsign-file-read-tokio, p-cpe:/a:fedoraproject:fedora:rust-get-size-derive2, p-cpe:/a:fedoraproject:fedora:rust-tikv-jemallocator, p-cpe:/a:fedoraproject:fedora:rust-quote-use, p-cpe:/a:fedoraproject:fedora:python-openapi-core, p-cpe:/a:fedoraproject:fedora:python-typing-inspection, p-cpe:/a:fedoraproject:fedora:uv, p-cpe:/a:fedoraproject:fedora:rust-attribute-derive, p-cpe:/a:fedoraproject:fedora:rust-manyhow-macros, p-cpe:/a:fedoraproject:fedora:rust-quote-use-macros, p-cpe:/a:fedoraproject:fedora:python-uv-build, p-cpe:/a:fedoraproject:fedora:gherkin, p-cpe:/a:fedoraproject:fedora:rust-proc-macro-utils, p-cpe:/a:fedoraproject:fedora:python-jiter, p-cpe:/a:fedoraproject:fedora:rust-astral-tokio-tar, p-cpe:/a:fedoraproject:fedora:python-cron-converter, p-cpe:/a:fedoraproject:fedora:python-fastapi, p-cpe:/a:fedoraproject:fedora:rust-attribute-derive-macro, p-cpe:/a:fedoraproject:fedora:rust-regex-automata, p-cpe:/a:fedoraproject:fedora:rust-speedate, p-cpe:/a:fedoraproject:fedora:rust-serde_json, p-cpe:/a:fedoraproject:fedora:rust-interpolator, p-cpe:/a:fedoraproject:fedora:ruff, p-cpe:/a:fedoraproject:fedora:rust-regex, p-cpe:/a:fedoraproject:fedora:fastapi-cloud-cli, p-cpe:/a:fedoraproject:fedora:rust-reqsign-http-send-reqwest, p-cpe:/a:fedoraproject:fedora:python-annotated-doc, p-cpe:/a:fedoraproject:fedora:python-starlette, p-cpe:/a:fedoraproject:fedora:python-platformio

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/10/8

脆弱性公開日: 2025/10/11

参照情報

CVE: CVE-2025-62518, CVE-2025-62727