検出

Fedora 12:python-2.6.2-8.fc12(2010-9565)

medium Nessus プラグイン ID 47600

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

- 2010 年 6 月 4 日(金曜日) David Malcolm <dmalcolm at redhat.com> - 2.6.2-8

- コンパイラが「-fwrapv」で起動されるようにします(rhbz#594819)

- CVE-2010-1634:audioop モジュールにおける、さまざまな整数オーバーフローチェックを修正(パッチ 113)

- CVE-2010-2089:audioop モジュール内における、さらなるチェック(パッチ 114)

- CVE-2008-5983:r81399 からの新しい PySys_SetArgvEx エントリポイント(パッチ 115)

- 2010 年 3 月 12 日(金曜日) David Malcolm 氏<dmalcolm at redhat.com>
 - 2.6.2-7

- すべてのパッチをドキュメント化し、コメントアウトされたものを削除します。

- パッケージレビューにおいて特定された、一部の問題に対処します(バグ 226342):

- ベースパッケージにおける libs 要件を更新し、一貫性を確立するために %{name} を使用します

- ブラックリストから $() 構文まで全体的に変換します

- LD_LIBRARY_PATH の値を引用符で囲います

- 「/usr/bin/find」要件を「findutils」に変換します

- サブパッケージのサマリーから末尾期間を削除します

- -test サブパッケージの説明の誤字を修正します

- スタイルの一貫性のために、$$RPM_BUILD_ROOT の使用率を %{buildroot} に全体的に変換します

- defattr ディレクティブに対して dirmode 引数を提供します

- /usr に対する参照を %{_prefix} に置き換えます。/usr/include に対する参照を %{_includedir} に置き換えます

- __python_ver が設定されている場合、ビルドを修正します(Zach Sadecki、
バグ 533989)、ファイルセクションにおいて pybasever を使用します。

- 2010 年 1 月 25 日(月曜日) David Malcolm 氏<dmalcolm at redhat.com> - 2.6.2-6

- pyexpat および elementtree のモジュールのビルドのダウンストリームカスタム化を削除するために、python-2.6.2-config.patch を更新します

- システム expat に対して構築するためのサポートを追加するために、upstream(パッチ 3)から抽出したパッチを追加します。
「configure」呼び出しに、with-system-expat を追加します(パッ チ3)

- 「prep」の際に、ソースツリーからの expat の組み込みコピーを削除します

- 2010 年 1 月 25 日(月曜日) David Malcolm <dmalcolm at redhat.com>
 - 2.6.2-5

- 「define」を「global」に全体的に置き換えます。

- 3 ディレクトリにマクロを導入し、拡張された参照を全体的に置き換えます:%{pylibdir}、%{dynload_dir}、%{site_packages}

- ペイロードを一時テキストファイルに動的に集めるのではなく、明確にすべての lib-dynload ファイルをリストします。そうすることで、こちらが出荷するものを明確に把握することができます。
特定の .so ファイルの存在をテストする、now-redundant を削除します

- 構築する前に、ソースツリーから libffi および zilib の組み込みコピーを削除します。

- 2010 年 1 月 25 日(月曜日) David Malcolm <dmalcolm at redhat.com>
 - 2.6.2-4

- python-2.6.2-config.patch を変更して、Modules/Setup.dist における curses 構成に対する弊社のダウンストリームの変更を削除します。そうすることで、curses モジュールが、Makefile 内ではなく、ダウンストリームのデフォルトで、setup.py を使用して構築されます(libncurses.so ではなく、libncursesw.so に対してリンク)。%install に test を追加し、curses モジュールが適切な DSO に対してリンクされている、dso ファイルを検証します(バグ 539917、_cursesmodule.so -> _curses.so の変更)

- 2010 年 1 月 8 日(金曜日) David Malcolm 氏<dmalcolm at redhat.com> - 2.6.2-3

- os.waitpid に対して存在しないキーワードの引数を使用しないようにするために、Lib/SocketServer.py を修正します(パッチ 52、rhbz:552404、Adrian Reber 氏)

注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受ける python パッケージを更新してください。

参考資料

https://bugzilla.redhat.com/show_bug.cgi?id=482814

https://bugzilla.redhat.com/show_bug.cgi?id=590690

https://bugzilla.redhat.com/show_bug.cgi?id=598197

http://www.nessus.org/u?3f0e5c1a

プラグインの詳細

深刻度: Medium

ID: 47600

ファイル名: fedora_2010-9565.nasl

バージョン: 1.14

タイプ: local

エージェント: unix

公開日: 2010/7/6

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.9

現状値: 6

ベクトル: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:python, cpe:/o:fedoraproject:fedora:12

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2010/6/7

脆弱性公開日: 2009/1/27

参照情報

CVE: CVE-2008-5983, CVE-2010-1634, CVE-2010-2089

BID: 40370, 40862, 40863

FEDORA: 2010-9565