Oracle Linux 6/7:python(ELSA-2016-1626)

medium Nessus プラグイン ID 93034

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2016:1626 から:

Red Hat Enterprise Linux 6 および Red Hat Enterprise Linux 7 用の python の更新が現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは、「参照」セクションで CVE リンクから脆弱性ごとに入手できます。

Python はインタプリター型、インタラクティブ、オブジェクト指向のプログラミング言語であり、モジュール、クラス、例外、非常に高レベルの動的データ型および動的型指定を含みます。Python は、多数のシステムコールやライブラリ、ならびに様々なウィンドウシステムへのインターフェイスをサポートしています。

セキュリティ修正:

* Python の CGIHandler クラスが CGI コンテキストでの HTTP_PROXY 変数名のクラッシュから適切に保護しないことが判明しました。リモートの攻撃者がこの欠陥を利用して、悪意のある HTTP リクエストを介して、Python CGI スクリプトが実行する HTTP リクエストを、攻撃者が制御するプロキシにおそらくリダイレクトする可能性があります。(CVE-2016-1000110)

* StartTLS が SMTP.starttls() 関数で確立に失敗した際に、Python の smtplib ライブラリが例外を返さないことが判明しました。中間者攻撃者は、Python SMTP クライアントアプリケーションで例外を生成せずに STARTTLS コマンドを実行して、TLS レイヤーの確立を妨害する可能性があります。(CVE-2016-0772)

* Python の httplib ライブラリ(urllib、urllib2 などが使用)が HTTPConnection.putheader() 関数の引数を適切に点検しないことが判明しました。攻撃者はこの欠陥を利用して、追加ヘッダーを Python アプリケーションに挿入して、ユーザー指定のヘッダー名または値を使用する可能性があります。(CVE-2016-5699)

Red Hat は、CVE-2016-1000110 を報告してくれた Scott Geary 氏(VendHQ)に感謝の意を表します。

ソリューション

影響を受ける python パッケージを更新してください。

参考資料

https://oss.oracle.com/pipermail/el-errata/2016-August/006283.html

https://oss.oracle.com/pipermail/el-errata/2016-August/006284.html

プラグインの詳細

深刻度: Medium

ID: 93034

ファイル名: oraclelinux_ELSA-2016-1626.nasl

バージョン: 2.9

タイプ: local

エージェント: unix

公開日: 2016/8/19

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.0

CVSS v2

リスクファクター: Medium

Base Score: 5.8

Temporal Score: 4.5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS v3

リスクファクター: Medium

Base Score: 6.5

Temporal Score: 5.9

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:linux:python, p-cpe:/a:oracle:linux:python-debug, p-cpe:/a:oracle:linux:python-devel, p-cpe:/a:oracle:linux:python-libs, p-cpe:/a:oracle:linux:python-test, p-cpe:/a:oracle:linux:python-tools, p-cpe:/a:oracle:linux:tkinter, cpe:/o:oracle:linux:6, cpe:/o:oracle:linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2016/8/18

脆弱性公開日: 2016/9/2

参照情報

CVE: CVE-2016-0772, CVE-2016-1000110, CVE-2016-5699

RHSA: 2016:1626