MiracleLinux 4python-2.6.6-52.0.1.AXS4AXSA:2014-069:01
medium Nessus プラグイン ID 289781
Language:
概要
リモートのMiracleLinuxホストにセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 4 ホストには、AXSA:2014-069:01 アドバイザリで言及されている脆弱性の影響を受けるパッケージがインストールされています。Pythonは、解釈型の対話型のオブジェクト指向プログラミング言語で、Tcl、Perl、Scheme、Javaとよく比較されます。Python にはモジュール、クラス、例外、非常にハイレベルの動的データタイプおよび動的タイピングが含まれます。Python は、多数のシステムコールやライブラリ、ならびに様々なウィンドウシステム(X11、Motif、Tk、Mac および MFC)へのインターフェースをサポートしています。
プログラマーは、C または C++ の Python の新しいビルトインモジュールを書き込むことができます。Python は、プログラム可能なインターフェイスを必要とするアプリケーションの拡張言語として使用できます。このパッケージには、ほとんどの標準的な Python モジュールと、Tk および RPM に設定された Tix ウィジェットへのインターフェイスのためのモジュールが含まれます。
注意Python のドキュメントは python-docs パッケージ内で提供されます。
このリリースで修正されたセキュリティ問題
CVE-2013-4238 Python 2.6 から 3.4 までの SSL モジュールの ssl.match_hostname 関数が、X.509 証明書の Subject Alternative Name フィールドで、ドメイン名にある「\0」文字を適切に処理しません。これにより、man-in が可能になります。 -the-middle 攻撃者が、正当な証明機関が発行した、細工された証明書を介して、任意の SSL サーバーになりすます。これは CVE-2009-2408に関連する問題です。
修正済みバグ
x86_64 の一部の依存関係の問題を修正。
以前は、python-tools からの Python 実行可能ファイルの多くは、#!/usr/bin/env python shebang で開始していました。これにより、代替の Python バージョンのインストールおよび使用が複雑になっていました。これは修正され、shebang は #!/usr/bin/python に変更されました。
以前は、トルコ語ロケールの挿入ステートメントは sqlite3.Cursor.lastrowid オブジェクトで受け入れられず、これによりグラフィックインストーラーでトルコ語を選択する際にインストール失敗が発生していました。これは修正されました。
メッセージが EMERG レベルとして扱われるため、すべての ユーザーコンソールに表示されるようにするために、 SysLogHandler から UTF-8 BOMバイトオーダーマーク挿入コードを削除しました。
以前は、/dev/urandom ファイルが存在しない場合、random.py スクリプトが random モジュールのインポートに失敗し、他のプログラムがクラッシュしていました。これは修正されました。
以前は、WatchedFileHandler クラスが競合状態を処理できなかったため、新しいログファイルへのローテーションが失敗していました。これは修正されました。
特定の SSL 証明書から代替サブジェクト名を読み取る際に偽の認証エラーが発生しないように、代替サブジェクト名の処理を修正しました。
以前は、SocketServer モジュールがシステムコール割り込みを適切に処理しなかったため、一部の HTTP サーバーがクラッシュしていました。これは修正されました。
以前は、timeout=None 引数を subprocess.Popen() 関数に渡すと、Eventlet ライブラリがクラッシュすることがありました。これは修正されました。
以前は、Python 2 バージョンでは、失敗した受信 SSL 接続が永久に開いたままになっていました。これは修正されました。
以前は、複数の libexpat.so ライブラリが利用可能な場合、Python は適切なものを選択できませんでした。
これは修正済みです。 _elementtree.so に明示的な RPATH を追加します。
任意の XML スキームに対する URL のクエリとフラグメント部分の urlparse モジュール解析を修正しました。
拡張機能collections.OrderedDict データ構造をコレクションパッケージに追加しました。これは、json.dumps ルーチンにより文字列に変換される際に、メモリ内の Python 辞書が同じ順序で確実に出力されるようにするためにアプリケーションコードで使用されます。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 289781
ファイル名: miracle_linux_AXSA-2014-069.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/16
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.2
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2013-4238
CVSS v3
リスクファクター: Medium
基本値: 5.9
現状値: 5.2
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:miracle:linux:python-libs, p-cpe:/a:miracle:linux:tkinter, p-cpe:/a:miracle:linux:python, p-cpe:/a:miracle:linux:python-devel, cpe:/o:miracle:linux:4
必要な KB アイテム: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/3/18
脆弱性公開日: 2013/8/12
参照情報
CVE: CVE-2013-4238