MiracleLinux 3python-2.4.3-24.6.1AXS3AXSA:2009-367:02
critical Nessus プラグイン ID 284392
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 3 ホストには、AXSA:2009-367:02 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。Pythonは、解釈型の対話型のオブジェクト指向プログラミング言語で、Tcl、Perl、Scheme、Javaとよく比較されます。Python にはモジュール、クラス、例外、非常にハイレベルの動的データタイプおよび動的タイピングが含まれます。Python は、多数のシステムコールやライブラリ、ならびに様々なウィンドウシステム(X11、Motif、Tk、Mac および MFC)へのインターフェースをサポートしています。
プログラマーは、C または C++ の Python の新しいビルトインモジュールを書き込むことができます。Python は、プログラム可能なインターフェイスを必要とするアプリケーションの拡張言語として使用できます。このパッケージには、ほとんどの標準的な Python モジュールと、Tk および RPM に設定された Tix ウィジェットへのインターフェイスのためのモジュールが含まれます。
注意Python のドキュメントは python-docs パッケージ内で提供されます。
修正されたバグ:
CVE-2007-20522.4 Python用の Modules/_localemodule.c の PyLocale_strxfrm 関数にある off-by-one エラーにより、不適切なバッファサイズが strxfrm 関数に使用されます。これにより、コンテキスト依存の攻撃者は、経由でメモリの一部を読み取ることができます 2.5 。 NULL 終端がないためにバッファオーバーリードを引き起こす不明な操作。
CVE-2007-4965 Python 2.5.1 以前の imageop モジュールにおける複数の整数オーバーフローにより、コンテキスト依存の攻撃者は、(1) tovideo メソッドに対する細工された引数を通じて、サービス拒否アプリケーションクラッシュを引き起こしたり、機密情報メモリコンテンツを入手したりすることができます。およびには、ヒープベースのバッファオーバーフローを発生させる (2) imageop.c、(3) rbgimgmodule.c およびその他のファイルに関連した、詳細不明なその他のベクトルが存在します。
CVE-2008-1721 Python 2.5.2 およびそれ以前の zlib 拡張モジュールにおける整数符号エラーにより、リモートの攻撃者が、負の符号付き整数を通じて任意のコードを実行し、これにより、不十分なメモリ割り当てとバッファオーバーフローが発生する可能性があります。
CVE-2008-1887 Python 2.5.2 以前により、コンテキスト依存の攻撃者は、複数のベクトルを通じて任意のコードを実行できます。これにより、負のサイズ値が PyString_FromStringAndSize 関数に提供されることになります。これにより、assert() が無効の場合に予想よりも少ないメモリが割り当てられ、バッファオーバーフローが発生します。
CVE-2008-2315 Python 2.5.2 以前の複数の整数オーバーフローにより、コンテキスト依存の攻撃者が、(1) stringobject、(2) unicodeobject、(3) bufferobject、(4) longobject、(5) tupleobject に関連するベクトルを通じて、未知の影響を与えることができます、(6) stropmodule、(7) gcmodule、および (8) mmapmodule モジュール。注: 2.5.2 の stringobject および unicodeobject の expandtabs 整数オーバーフローは、 CVE-2008-5031でカバーされます。
CVE-2008-3142 Python 2.5.2 およびそれ以前の 32 ビットプラットフォームにおける複数のバッファオーバーフローにより、コンテキスト依存の攻撃者は、Unicode 文字列処理中に不適切なメモリ割り当てを引き起こす長い文字列を通じて、サービス拒否クラッシュを引き起こすことができます。これは、 に関連します。 unicode_resize 関数および PyMem_RESIZE マクロ。
CVE-2008-31432.5.2 より前の Python の複数の整数オーバーフローにより、コンテキスト依存の攻撃者が、(1) Include/pymem.h に関連するベクトルを通じて未知の影響を与える可能性があります。 (2) _csv.c、(3) _struct.c、(4) arraymodule.c、(5) audioop.c、(6) binascii.c、(7) cPickle.c、(8) cStringIO.c、 9) cjkcodecs/multibytecodec.c、(10) datetimemodule.c、(11) md5.c、(12) rgbimgmodule.c、および (13) Modules/ の stropmodule.c。 (14) bufferobject.c、(15) listobject.c、および (16) Objects/ の obmalloc.c。 17Parser/node.c整数オーバーフローのチェックで対処された Python/ の (18) asdl.c、(19) ast.c、(20) bltinmodule.c、および (21) compile.c であり、整数オーバーフローのチェックで対処されており、Google が貢献しました。
CVE-2008-3144 Python 2.5.2 以前の Python/mysnprintf.c の PyOS_vsnprintf 関数に複数の整数オーバーフローがあるため、コンテキスト依存の攻撃者が、文字列フォーマット操作への細工された入力を介して、サービス拒否メモリ破損を引き起こすか、詳細不明なその他の影響を与える可能性があります。注 特定の整数値の処理は、関連する整数アンダーフローおよび off-by-one エラーにも影響を受けます。
CVE-2008-48641.5.2 Pythonの imageop モジュールの imageop.c における複数の整数オーバーフローにより 2.5.1 、コンテキスト依存の攻撃者が Python VM を突破し、crop 関数に対する特定の引数の大きな整数値を介して、任意のコードを実行することができます。これにより、バッファオーバーフロー。これは、 CVE-2007-4965 および CVE-2008-1679とは異なる脆弱性です。
CVE-2008-5031 Python の複数の整数オーバーフローにより 2.2.3 、[ 2.5.1から まで、および 2.6により、コンテキスト依存の攻撃者が、expandtabs メソッドに対するタブサイズ引数に大きな整数値を渡すことで、未知の影響を及ぼすことが可能です。これは、(1) string_expandtabs 関数で実装されています。 Objects/stringobject.c 内の および (2) Objects/unicodeobject.c 内の unicode_expandtabs 関数で発見しました。注この脆弱性は、 の CVE-2008-2315不完全な修正が原因であると報告されています。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 284392
ファイル名: miracle_linux_AXSA-2009-367.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/14
更新日: 2026/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2008-5031
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2008-4864
脆弱性情報
CPE: p-cpe:/a:miracle:linux:tkinter, p-cpe:/a:miracle:linux:python-tools, p-cpe:/a:miracle:linux:python, p-cpe:/a:miracle:linux:python-devel, cpe:/o:miracle:linux:3
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2009/8/19
脆弱性公開日: 2007/4/16
参照情報
CVE: CVE-2007-2052, CVE-2007-4965, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-3142, CVE-2008-3143, CVE-2008-3144, CVE-2008-4864, CVE-2008-5031