SUSE SLED12 / SLES12 セキュリティ更新:python (SUSE-SU-2015:1344-1)
critical Nessus プラグイン ID 85250
Language:
概要
リモート SuSE ホストに1つ以上のセキュリティ更新がありません。説明
python 2.7.9 へのこの更新により、以下の問題が修正されます。- python-2.7-libffi-aarch64.patch:aarch64 用の libffi での引数の渡しが修正されます
2.7.9 に更新するバージョンから:
- Python 3.4 からの ssl モジュールの完全なバックポートが含まれます(PEP466)
- デフォルトで HTTPS 証明書の検証が有効です(PEP476)
- デフォルトで SSLv3 が無効です(bnc#901715)
- ensurepip モジュールがバックポートされています(PEP477)
- 直前のリリースから欠落している複数の CVE が修正されます:
CVE-2013-1752、CVE-2013-1753
- Upstreamed パッチがドロップされています:python-2.7.6-poplib.patch、smtplib_maxline-2.7.patch、xmlrpc_gzip_27.patch
- パッチ python-2.7.3-ssl_ca_path.patch は Python 3 からの ssl モジュールで必要ないため、ドロップされています
- libffi はアップグレード済みの Upstream でした。弊社の変更が含まれているようなので、libffi-ppc64le.diff もドロップされます
- python-2.7-urllib2-localnet-ssl.patch - ssl がない場合に失敗する原因となっていた無条件の「ssl をインポート」が、test_urllib2_localnet から適切に削除されます
- qemu_linux_user モードで test_thread がスキップされます
2.7.8 に更新するバージョンから:
- CGIHTTPServer での CVE-2014-4650 ディレクトリトラバーサルが修正されます
- buffer() での発生する可能性がある CVE-2014-7185(bnc#898572)バッファオーバーフローが、修正されます
logjam のセキュリティの問題を修正するため、DH パラメーターが 2048 ビットに増加されました(bsc#935856)
注意:Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
この SUSE セキュリティ更新をインストールするには、YaST online_update を使用してください。または、お使いの製品用に一覧になったコマンドを実行することも可能です。
SUSE Linux Enterprise ワークステーション拡張 12 :
zypper in -t patch SUSE-SLE-WE-12-2015-367=1
SUSE Linux Enterprise ソフトウェア開発キット 12:
zypper in -t patch SUSE-SLE-SDK-12-2015-367=1
SUSE Linux Enterprise サーバー 12:
zypper in -t patch SUSE-SLE-SERVER-12-2015-367=1
SUSE Linux Enterprise Desktop 12:
zypper in -t patch SUSE-SLE-DESKTOP-12-2015-367=1
お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。
参考資料
https://bugzilla.suse.com/show_bug.cgi?id=935856
https://www.suse.com/security/cve/CVE-2013-1752/
https://www.suse.com/security/cve/CVE-2013-1753/
https://www.suse.com/security/cve/CVE-2014-4650/
https://www.suse.com/security/cve/CVE-2014-7185/
http://www.nessus.org/u?8b2cb590
https://bugzilla.suse.com/show_bug.cgi?id=898572
プラグインの詳細
深刻度: Critical
ID: 85250
ファイル名: suse_SU-2015-1344-1.nasl
バージョン: 2.9
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2015/8/6
更新日: 2021/1/6
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:libpython2_7, p-cpe:/a:novell:suse_linux:libpython2_7-1_0, p-cpe:/a:novell:suse_linux:libpython2_7-1_0-debuginfo, p-cpe:/a:novell:suse_linux:python, p-cpe:/a:novell:suse_linux:python-base, p-cpe:/a:novell:suse_linux:python-base-debuginfo, p-cpe:/a:novell:suse_linux:python-base-debugsource, p-cpe:/a:novell:suse_linux:python-curses, p-cpe:/a:novell:suse_linux:python-curses-debuginfo, p-cpe:/a:novell:suse_linux:python-debuginfo, p-cpe:/a:novell:suse_linux:python-debugsource, p-cpe:/a:novell:suse_linux:python-demo, p-cpe:/a:novell:suse_linux:python-devel, p-cpe:/a:novell:suse_linux:python-gdbm, p-cpe:/a:novell:suse_linux:python-gdbm-debuginfo, p-cpe:/a:novell:suse_linux:python-idle, p-cpe:/a:novell:suse_linux:python-tk, p-cpe:/a:novell:suse_linux:python-tk-debuginfo, p-cpe:/a:novell:suse_linux:python-xml, p-cpe:/a:novell:suse_linux:python-xml-debuginfo, cpe:/o:novell:suse_linux:12
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2015/6/30
脆弱性公開日: 2014/10/8
参照情報
CVE: CVE-2013-1752, CVE-2013-1753, CVE-2014-4650, CVE-2014-7185