CentOS 9python-urllib3-1.26.5-7.el9
high Nessus プラグイン ID 297556
Language:
概要
リモートの CentOS ホストには、python3-urllib3 用の 1 つ以上のセキュリティ更新がありません。説明
リモートの CentOS Linux 9 ホストには、python-urllib3-1.26.5-7.el9 ビルド変更ログで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。- urllib3 は Python 用の HTTP クライアントライブラリです。 urllib3 のストリーミング API は、応答本体全体を一度にメモリにロードするのではなく、チャンクのコンテンツを読み取ることで、大きな HTTP 応答を効率的に処理するように設計されています。 urllib3 は、HTTP「Content-Encoding」ヘッダー例「gzip」、「deflate」、「br」、「zstd」に基づいてデコードまたは展開を実行できます。ストリーミング API を使用している場合、ライブラリは必要なバイトのみを展開し、部分的なコンテンツの消費が可能になります。バージョン 1.22 からバージョン 2.6.3より前のバージョン以降、HTTP リダイレクト応答に対して、ライブラリが応答本文全体を読み、接続をドレインし、コンテンツを不必要に展開します。この展開は、読み込みメソッドが呼び出される前でも発生し、構成された読み取り制限は展開されたデータ量を制限しませんでした。その結果、展開爆弾に対する保護がありませんでした。悪意のあるサーバーがこれを悪用して、クライアントで過剰なリソース消費を引き起こす可能性があります。アプリケーションとライブラリは、リダイレクトを無効にしていない場合に「preload_content=False」を設定することで信頼できないソースからコンテンツをストリームする際に影響を受けます。ユーザーは、「preload_content=False」時にライブラリがリダイレクト応答のコンテンツをデコードしない、少なくとも urllib3 v2.6.3 にアップグレードする必要があります。すぐにアップグレードできない場合は、信頼できないソースへのリクエストに対して「redirect=False」を設定してリダイレクトを無効にしてください。CVE-2026-21441
- urllib3 は、Python 用の使いやすい HTTP クライアントライブラリです。バージョン 1.24 および 2.6.0より前の から、展開チェーンのリンク数に制限がなくなり、悪意のあるサーバーがほぼ無制限の圧縮ステップを挿入し、展開されたデータのために高い CPU 使用率と大量のメモリ割り当てを引き起こす可能性があります。この脆弱性は 2.6.0 で修正されました。(CVE-2025-66418)
- urllib3 は、Python 用の使いやすい HTTP クライアントライブラリです。バージョン 1.0 および 2.6.0より前の から、Streaming API は高度に圧縮されたデータを不適切に処理します。 urllib3 のストリーミング API は、応答本体全体を一度にメモリにロードするのではなく、チャンクのコンテンツを読み取ることで、大きな HTTP 応答を効率的に処理するように設計されています。圧縮された応答をストリーミングするとき、urllib3はHTTP Content-Encodingヘッダー例gzip、deflate、br、zstdに基づいてデコードまたは展開を実行できます。
ライブラリは、ネットワークから圧縮されたデータを読み取り、リクエストされたチャンクサイズを満たすまで展開する必要があります。その結果リクエストされた量を超える展開データは、次の読み取り操作のために内部バッファに保持されます。展開ロジックにより、urllib3 は 1 回の操作で少量の高度に圧縮されたデータを完全にデコードできる可能性があります。これにより、リソースが過剰に消費される可能性があります展開されたデータに対して高い CPU 使用率と大量のメモリ割り当てが発生しますCVE-2025-66471
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
CentOS 9 Stream python3-urllib3 パッケージを更新してください。参考資料
https://kojihub.stream.centos.org/koji/buildinfo?buildID=95493
プラグインの詳細
深刻度: High
ID: 297556
ファイル名: centos9_python-urllib3-1_26_5-7_95493.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: CentOS Local Security Checks
公開日: 2026/2/2
更新日: 2026/2/2
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS スコアのソース: CVE-2026-21441
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 8.9
Threat Score: 6.3
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H
脆弱性情報
CPE: p-cpe:/a:centos:centos:python3-urllib3, cpe:/a:centos:centos:9
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/CentOS/release, Host/CentOS/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/1/27
脆弱性公開日: 2025/12/5