Amazon Linux 2023 : python3-urllib3 (ALAS2023-2026-1418)
high Nessus プラグイン ID 298125
Language:
概要
リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。説明
したがって、ALAS2023-2026-1418 のアドバイザリに記載されている複数の脆弱性の影響を受けます。urllib3 は、Python 用の使いやすい HTTP クライアントライブラリです。バージョン 1.24 および 2.6.0より前の から、展開チェーンのリンク数に制限がなくなり、悪意のあるサーバーがほぼ無制限の圧縮ステップを挿入し、展開されたデータのために高い CPU 使用率と大量のメモリ割り当てを引き起こす可能性があります。この脆弱性は 2.6.0 で修正されました。(CVE-2025-66418)
urllib3 は、Python 用の使いやすい HTTP クライアントライブラリです。バージョン 1.0 および 2.6.0より前の から、Streaming API は高度に圧縮されたデータを不適切に処理します。 urllib3 のストリーミング API は、応答本体全体を一度にメモリにロードするのではなく、チャンクのコンテンツを読み取ることで、大きな HTTP 応答を効率的に処理するように設計されています。圧縮された応答をストリーミングするとき、urllib3はHTTP Content-Encodingヘッダー例gzip、deflate、br、zstdに基づいてデコードまたは展開を実行できます。
ライブラリは、ネットワークから圧縮されたデータを読み取り、リクエストされたチャンクサイズを満たすまで展開する必要があります。その結果リクエストされた量を超える展開データは、次の読み取り操作のために内部バッファに保持されます。展開ロジックにより、urllib3 は 1 回の操作で少量の高度に圧縮されたデータを完全にデコードできる可能性があります。これにより、リソースが過剰に消費される可能性があります展開されたデータに対して高い CPU 使用率と大量のメモリ割り当てが発生しますCVE-2025-66471
urllib3 は Python 用の HTTP クライアントライブラリです。 urllib3 のストリーミング API は、応答本体全体を一度にメモリにロードするのではなく、チャンクのコンテンツを読み取ることで、大きな HTTP 応答を効率的に処理するように設計されています。 urllib3 は、HTTP「Content-Encoding」ヘッダー例「gzip」、「deflate」、「br」、「zstd」に基づいてデコードまたは展開を実行できます。ストリーミング API を使用している場合、ライブラリは必要なバイトのみを展開し、部分的なコンテンツの消費が可能になります。バージョン 1.22 からバージョン 2.6.3より前のバージョン以降、HTTP リダイレクト応答に対して、ライブラリが応答本文全体を読み、接続をドレインし、コンテンツを不必要に展開します。この展開は、読み込みメソッドが呼び出される前でも発生し、構成された読み取り制限は展開されたデータ量を制限しませんでした。その結果、展開爆弾に対する保護がありませんでした。悪意のあるサーバーがこれを悪用して、クライアントで過剰なリソース消費を引き起こす可能性があります。アプリケーションとライブラリは、リダイレクトを無効にしていない場合に「preload_content=False」を設定することで信頼できないソースからコンテンツをストリームする際に影響を受けます。ユーザーは、「preload_content=False」時にライブラリがリダイレクト応答のコンテンツをデコードしない、少なくとも urllib3 v2.6.3 にアップグレードする必要があります。すぐにアップグレードできない場合は、信頼できないソースへのリクエストに対して「redirect=False」を設定してリダイレクトを無効にしてください。CVE-2026-21441
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「dnf update python-urllib3 --releasever 2023.10.20260202」または「dnf update --advisory ALAS2023-2026-1418 --releasever 2023.10.20260202」を実行して、お使いのシステムを更新してください。参考資料
https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1418.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2025-66418.html
プラグインの詳細
深刻度: High
ID: 298125
ファイル名: al2023_ALAS2023-2026-1418.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
公開日: 2026/2/5
更新日: 2026/2/5
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS スコアのソース: CVE-2026-21441
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 8.9
Threat Score: 6.3
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H
脆弱性情報
CPE: cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:python3-urllib3
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/2/5
脆弱性公開日: 2025/12/5