リモートの Fedora 39 ホストには、FEDORA-2023-a04cc349e1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - aiohttp は、asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークです。不適切な検証により、攻撃者が HTTP バージョンをコントロールしている場合に、攻撃者が HTTP リクエストを変更したり (新しいヘッダーを挿入するなど)、新しい HTTP リクエストを作成したりできるようになっています。この脆弱性は、攻撃者がリクエストの HTTP バージョンをコントロールできる場合にのみ発生します。この問題には、バージョン 3.9.0 でパッチが適用されています。(CVE-2023-49081)

  - aiohttp は、asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークです。不適切な検証により、攻撃者が HTTP メソッドをコントロールしている場合、攻撃者が HTTP リクエストを変更 (新しいヘッダーの挿入など) したり、新しい HTTP リクエストを作成したりすることが可能です。この脆弱性は、攻撃者がリクエストの HTTP メソッド (GET、POST など) をコントロールできる場合にのみ発生します。攻撃者が HTTP バージョンのリクエストをコントロールできる場合、リクエストを変更することが可能です (リクエストスマグリング)。この問題には、バージョン 3.9.0 でパッチが適用されています。(CVE-2023-49082)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2024:0168-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

  - aiohttp は、asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークです。不適切な検証により、攻撃者が HTTP メソッドをコントロールしている場合、攻撃者が HTTP リクエストを変更 (新しいヘッダーの挿入など) したり、新しい HTTP リクエストを作成したりすることが可能です。この脆弱性は、攻撃者がリクエストの HTTP メソッド (GET、POST など) をコントロールできる場合にのみ発生します。攻撃者が HTTP バージョンのリクエストをコントロールできる場合、リクエストを変更することが可能です (リクエストスマグリング)。この問題には、バージョン 3.9.0 でパッチが適用されています。(CVE-2023-49082)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Fedora 38 ホストには、FEDORA-2023-1f06098c71 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - aiohttp は、asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークです。不適切な検証により、攻撃者が HTTP バージョンをコントロールしている場合に、攻撃者が HTTP リクエストを変更したり (新しいヘッダーを挿入するなど)、新しい HTTP リクエストを作成したりできるようになっています。この脆弱性は、攻撃者がリクエストの HTTP バージョンをコントロールできる場合にのみ発生します。この問題には、バージョン 3.9.0 でパッチが適用されています。(CVE-2023-49081)

  - aiohttp は、asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークです。不適切な検証により、攻撃者が HTTP メソッドをコントロールしている場合、攻撃者が HTTP リクエストを変更 (新しいヘッダーの挿入など) したり、新しい HTTP リクエストを作成したりすることが可能です。この脆弱性は、攻撃者がリクエストの HTTP メソッド (GET、POST など) をコントロールできる場合にのみ発生します。攻撃者が HTTP バージョンのリクエストをコントロールできる場合、リクエストを変更することが可能です (リクエストスマグリング)。この問題には、バージョン 3.9.0 でパッチが適用されています。(CVE-2023-49082)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Fedora 40 ホストには、FEDORA-2023-d5bd6b62e4 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - aiohttp は、asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークです。不適切な検証により、攻撃者が HTTP バージョンをコントロールしている場合に、攻撃者が HTTP リクエストを変更したり (新しいヘッダーを挿入するなど)、新しい HTTP リクエストを作成したりできるようになっています。この脆弱性は、攻撃者がリクエストの HTTP バージョンをコントロールできる場合にのみ発生します。この問題には、バージョン 3.9.0 でパッチが適用されています。(CVE-2023-49081)

  - aiohttp は、asyncio および Python 用の非同期 HTTP クライアント/サーバーフレームワークです。不適切な検証により、攻撃者が HTTP メソッドをコントロールしている場合、攻撃者が HTTP リクエストを変更 (新しいヘッダーの挿入など) したり、新しい HTTP リクエストを作成したりすることが可能です。この脆弱性は、攻撃者がリクエストの HTTP メソッド (GET、POST など) をコントロールできる場合にのみ発生します。攻撃者が HTTP バージョンのリクエストをコントロールできる場合、リクエストを変更することが可能です (リクエストスマグリング)。この問題には、バージョン 3.9.0 でパッチが適用されています。(CVE-2023-49082)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 / 9 ホストに、RHSA-2024:1057 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - pygments: pygments での ReDoS (CVE-2022-40896)

  - python-pillow: ImageDraw インスタンスの textlength が長いテキスト引数で動作するときの制御されないリソース消費 (CVE-2023-44271)

  - python-aiohttp: ヘッダー解析に関する HTTP パーサーにおける多数の問題 (CVE-2023-47627)

  - aiohttp: HTTP リクエストの変更 (CVE-2023-49081)

  - aiohttp: ユーザーが aiohttp クライアントを使用して HTTP メソッドをコントロールする場合の CRLF インジェクション (CVE-2023-49082)

  - pycryptodome: PyCryptodome および pycryptodomex における OAEP 復号化のサイドチャネル漏洩 (CVE-2023-52323)

  - ansible 自動化プラットフォーム: EDA サーバーとのやり取りの際に使用される安全でない websocket (CVE-2024-1657)

  - jinja2: ユーザー入力を xmlattr フィルターへのキーとして渡す際の HTML 属性インジェクション (CVE-2024-22195)

  - Django: 「intcomma」テンプレートフィルターでのサービス拒否 (CVE-2024-24680)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:1878 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat Update Infrastructure (RHUI) は、リポジトリとコンテンツの管理を可能にする、非常にスケーラブルで冗長性の高いフレームワークを提供します。また、クラウドプロバイダーは、Red Hat Enterprise Linux (RHEL) インスタンスにコンテンツと更新プログラムを提供できます。

    セキュリティ修正プログラム：

    * python-django: EmailValidator/URLValidator における正規表現によるサービス拒否の潜在的な脆弱性 (CVE-2023-36053)

    * python-aiohttp: llhttp HTTP リクエストパーサーを介した HTTP リクエストのスマグリング (CVE-2023-37276)

    * python-django:「django.utils.encoding.uri_to_iri()」での潜在的なサービス拒否の脆弱性 (CVE-2023-41164)

    * python-django: django.utils.text.Truncator でのサービス拒否の可能性 (CVE-2023-43665)

    * python-aiohttp: ヘッダー解析に関する HTTP パーサーにおける多数の問題 (CVE-2023-47627)

    * aiohttp: HTTP リクエストの変更 (CVE-2023-49081)

    * python-cryptography: PKCS7 証明書をロードする際の NULL 逆参照 (CVE-2023-49083)

    * jinja2: ユーザー入力を xmlattr フィルターへのキーとして渡す際の HTML 属性インジェクション (CVE-2024-22195)

    * aiohttp: follow_symlinks のディレクトリトラバーサルの脆弱性 (CVE-2024-23334)

    * python-ecdsa: Minerva 攻撃に対する脆弱性 (CVE-2024-23342)

    * python-aiohttp: http リクエストのスマグリング (CVE-2024-23829)

    * Django:「intcomma」テンプレートフィルターでのサービス拒否 (CVE-2024-24680)

    * python-django: django.utils.text.Truncator.words() における潜在的な正規表現のサービス拒否 (CVE-2024-27351)

    * aiohttp: ユーザーが aiohttp クライアントを使用して HTTP メソッドをコントロールする場合の CRLF インジェクション (CVE-2023-49082)

    この RHUI 更新では次のバグを修正します。

    * rhui-installer は、distutils の使用により RHEL 8.10 Beta 上で失敗しました。これは、distutils を使用しない新しいバージョンである ansible-collection-community-crypto に更新することで解決されました。

    この RHUI アップデートでは、次の機能強化が導入されています。

    * RHUI インストーラーが初めて実行されるとき、または任意の時点で再実行されるときに、RHUA サーバー上のパッケージを更新するためにネイティブの Ansible モジュールが使用されるようになりました。この更新は、rhui-installer コマンドラインで --ignore-newer-rhel-packages フラグを使用することで回避できます。

    * PulpCore は、バージョン 3.39 に更新されています。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
187672	Fedora 39 : python-aiohttp / python-pysqueezebox / python-wled (2023-a04cc349e1)	Nessus	Fedora Local Security Checks	2024/1/7	2024/1/7	medium
189249	SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新: python-aiohttp (SUSE-SU-2024:0168-1)	Nessus	SuSE Local Security Checks	2024/1/19	2024/1/20	medium
187670	Fedora 38 : python-aiohttp / python-pysqueezebox / python-wled (2023-1f06098c71)	Nessus	Fedora Local Security Checks	2024/1/7	2024/1/7	medium
194520	Fedora 40 : python-aiohttp / python-pysqueezebox / python-wled (2023-d5bd6b62e4)	Nessus	Fedora Local Security Checks	2024/4/29	2024/4/29	medium
191748	RHEL 8/9：Red Hat Ansible Automation Platform 2.4 製品セキュリティおよびバグ修正プログラムの更新 (重要度高) (RHSA-2024:1057)	Nessus	Red Hat Local Security Checks	2024/3/8	2024/6/3	high
193467	RHEL 8: RHUI 4.8 リリース - セキュリティの更新、バグ修正、拡張機能 (重要度中) (RHSA-2024:1878)	Nessus	Red Hat Local Security Checks	2024/4/18	2024/5/29	high

検出

プラグインの検索

medium

medium

medium

medium

high

high