检测

Ubuntu 18.04 LTS / 20.04 LTS:Python 漏洞 (USN-4754-3)

critical Nessus 插件 ID 148008

语言:

简介

远程 Ubuntu 主机缺少一个或多个安全更新。

描述

远程 Ubuntu 18.04 LTS/20.04 LTS 主机上安装的程序包受到 USN-4754-3 公告中提及的多个漏洞的影响。

 USN-4754-1 修复了 Python 中的漏洞。此更新提供针对 Ubuntu 18.04 和 Ubuntu 20.04 的相应更新。

 适用于 20.04 的 Python 2.7 还包含下面这些修补程序:

 据发现,Python 允许远程攻击者通过 ZIP 炸弹攻击造成拒绝服务(资源消耗)。(CVE-2019-9674)

 据发现,Python 中可能存在关于是否进行排序的误导信息。此修补程序更新了它的说明文档。(CVE-2019-17514)

 发现 Python 未能正确处理某些 TAR 存档。攻击者可能会利用此问题发起拒绝服务攻击。(CVE-2019-20907)

 据发现,由于 urllib.request.AbstractBasicAuthHandler 的灾难性回溯,Python 允许 HTTP 服务器对客户端进行正则表达式拒绝服务 (ReDoS) 攻击。(CVE-2020-8492)

 据发现,如果攻击者控制 HTTP 请求方法,则 Python 会允许攻击者执行 CRLF 注入攻击,这一点已通过在 HTTPConnection.request 的第一个参数中插入 CR 和 LF 控制字符证实。
 (CVE-2020-26116)



Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://ubuntu.com/security/notices/USN-4754-3

插件详情

严重性: Critical

ID: 148008

文件名: ubuntu_USN-4754-3.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2021/3/23

最近更新时间: 2024/10/29

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2021-3177

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:canonical:ubuntu_linux:libpython2.7, p-cpe:/a:canonical:ubuntu_linux:libpython2.7-testsuite, p-cpe:/a:canonical:ubuntu_linux:python3.8-examples, p-cpe:/a:canonical:ubuntu_linux:libpython2.7-stdlib, p-cpe:/a:canonical:ubuntu_linux:python3.8-dev, p-cpe:/a:canonical:ubuntu_linux:idle-python3.7, p-cpe:/a:canonical:ubuntu_linux:python2.7, p-cpe:/a:canonical:ubuntu_linux:python3.7, p-cpe:/a:canonical:ubuntu_linux:python2.7-dev, p-cpe:/a:canonical:ubuntu_linux:python3.7-minimal, p-cpe:/a:canonical:ubuntu_linux:libpython3.7-testsuite, p-cpe:/a:canonical:ubuntu_linux:libpython3.7-minimal, p-cpe:/a:canonical:ubuntu_linux:idle-python2.7, p-cpe:/a:canonical:ubuntu_linux:libpython3.7, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:libpython3.8-dev, p-cpe:/a:canonical:ubuntu_linux:libpython3.7-stdlib, p-cpe:/a:canonical:ubuntu_linux:libpython3.8, p-cpe:/a:canonical:ubuntu_linux:python3.8, p-cpe:/a:canonical:ubuntu_linux:libpython3.8-stdlib, p-cpe:/a:canonical:ubuntu_linux:libpython2.7-dev, p-cpe:/a:canonical:ubuntu_linux:libpython3.8-testsuite, p-cpe:/a:canonical:ubuntu_linux:idle-python3.8, p-cpe:/a:canonical:ubuntu_linux:libpython2.7-minimal, p-cpe:/a:canonical:ubuntu_linux:libpython3.8-minimal, p-cpe:/a:canonical:ubuntu_linux:python3.7-venv, p-cpe:/a:canonical:ubuntu_linux:libpython3.7-dev, p-cpe:/a:canonical:ubuntu_linux:python3.8-venv, p-cpe:/a:canonical:ubuntu_linux:python2.7-minimal, p-cpe:/a:canonical:ubuntu_linux:python3.7-examples, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:python2.7-examples, p-cpe:/a:canonical:ubuntu_linux:python3.7-dev, p-cpe:/a:canonical:ubuntu_linux:python3.8-minimal

必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可利用: true

易利用性: Exploits are available

补丁发布日期: 2021/3/12

漏洞发布日期: 2019/10/12

参考资料信息

CVE: CVE-2019-17514, CVE-2019-20907, CVE-2019-9674, CVE-2020-26116, CVE-2020-27619, CVE-2020-8492, CVE-2021-3177

USN: 4754-3