Debian dla-3980:idle-python3.9 - 安全更新
high Nessus 插件 ID 211991
语言:
简介
远程 Debian 主机上缺少一个或多个与安全相关的更新。描述
远程 Debian 11 主机上安装的多个程序包受到 dla-3980 公告中提及的多个漏洞影响。- ------------------------------------------------------------------------- Debian LTS 公告 DLA-3980-1 [email protected] https://www.debian.org/lts/security/Adrian Bunk 2024 年 12 月 2 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------
程序包:python3.9 版本:3.9.2-1+deb11u2 CVE ID: CVE-2015-20107 CVE-2020-10735 CVE-2021-3426 CVE-2021-3733 CVE-2021-3737 CVE-2021-4189 CVE-2021-28861 CVE-2021-29921 CVE-2022-42919 CVE-2022-45061 CVE-2023-6597 CVE-2023-24329 CVE-2023-27043 CVE-2023-40217 CVE-2024-0397 CVE-2024-0450 CVE-2024-4032 CVE-2024-6232 CVE-2024-6923 CVE-2024-7592 CVE-2024-8088 CVE-2024-9287 CVE-2024-11168 Debian 缺陷:989195 1070135 1059298 1070133
已修复 Python3 解释器中的多个漏洞。
CVE-2015-20107
mailcap 模块不会将转义字符添加到在系统 mailcap 文件中发现的命令中
CVE-2020-10735
防止使用极大 int 的 DoS
CVE-2021-3426
删除 pydoc getfile 功能,此功能可能遭到滥用,以读取磁盘上的任意文件
CVE-2021-3733
urllib 的 AbstractBasicAuthHandler 类中的正则表达式拒绝服务
CVE-2021-3737
HTTP 客户机代码中的无限循环
CVE-2021-4189
使 ftplib 不信任 PASV 响应
CVE-2021-28861
http.server 中的开放重定向漏洞
CVE-2021-29921
不再容许 IPv4 地址中存在前导零
CVE-2022-42919
不针对多处理使用 Linux 抽象套接字
CVE-2022-45061
IDNA 解码器中的 Quadratic 时间
CVE-2023-6597
tempfile.TemporaryDirectory 无法删除 dir
CVE-2023-24329
剥离 urlsplit 中的 C0 控制和空格字符
CVE-2023-27043
拒绝 email.parseaddr() 中的畸形地址
CVE-2023-40217
TLS 握手的 ssl.SSLSocket 绕过
CVE-2024-0397
ssl.SSLContext 中的争用条件
CVE-2024-0450
Quoted-overlap zipbomb DoS
CVE-2024-4032
有关 ipaddress 模块中私有地址的错误信息
CVE-2024-6232
解析 tarfile 标头时发生 ReDoS
CVE-2024-6923
对电子邮件模块标头中的换行符进行编码
CVE-2024-7592
解析包含反斜线的 Cookie 的二次方复杂性
CVE-2024-8088
在对 zip 存档条目名称进行迭代处理时发生无限循环
CVE-2024-9287
venv 激活脚本未引用路径
CVE-2024-11168
urllib 函数未正确验证括号里的主机
对于 Debian 11 bullseye,已在 3.9.2-1+deb11u2 版本中修复这些问题。
我们建议您升级 python3.9 程序包。
如需了解更多 python3.9 的详细安全状态,请参阅其安全跟踪页面:
https://security-tracker.debian.org/tracker/python3.9
有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息,请访问以下网址:https://wiki.debian.org/LTS
Tenable 已直接从 Debian 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 idle-python3.9 程序包。另见
https://security-tracker.debian.org/tracker/source-package/python3.9
https://security-tracker.debian.org/tracker/CVE-2015-20107
https://security-tracker.debian.org/tracker/CVE-2020-10735
https://security-tracker.debian.org/tracker/CVE-2021-28861
https://security-tracker.debian.org/tracker/CVE-2021-29921
https://security-tracker.debian.org/tracker/CVE-2021-3426
https://security-tracker.debian.org/tracker/CVE-2021-3733
https://security-tracker.debian.org/tracker/CVE-2021-3737
https://security-tracker.debian.org/tracker/CVE-2021-4189
https://security-tracker.debian.org/tracker/CVE-2022-42919
https://security-tracker.debian.org/tracker/CVE-2024-11168
https://security-tracker.debian.org/tracker/CVE-2024-4032
https://security-tracker.debian.org/tracker/CVE-2024-6232
https://security-tracker.debian.org/tracker/CVE-2024-6923
https://security-tracker.debian.org/tracker/CVE-2024-7592
https://security-tracker.debian.org/tracker/CVE-2024-8088
https://security-tracker.debian.org/tracker/CVE-2024-9287
https://packages.debian.org/source/bullseye/python3.9
https://security-tracker.debian.org/tracker/CVE-2022-45061
https://security-tracker.debian.org/tracker/CVE-2023-24329
https://security-tracker.debian.org/tracker/CVE-2023-27043
https://security-tracker.debian.org/tracker/CVE-2023-40217
https://security-tracker.debian.org/tracker/CVE-2023-6597
插件详情
严重性: High
ID: 211991
文件名: debian_DLA-3980.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2024/12/2
最近更新时间: 2024/12/2
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: High
分数: 7.1
CVSS v2
风险因素: High
基本分数: 8
时间分数: 6.3
矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:C/A:P
CVSS 分数来源: CVE-2015-20107
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2021-29921
CVSS v4
风险因素: High
Base Score: 8.9
Threat Score: 8.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2023-40217
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:python3.9, p-cpe:/a:debian:debian_linux:libpython3.9-stdlib, p-cpe:/a:debian:debian_linux:python3.9-dbg, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:python3.9-full, p-cpe:/a:debian:debian_linux:python3.9-examples, p-cpe:/a:debian:debian_linux:libpython3.9-testsuite, p-cpe:/a:debian:debian_linux:python3.9-minimal, p-cpe:/a:debian:debian_linux:python3.9-doc, p-cpe:/a:debian:debian_linux:libpython3.9-dev, p-cpe:/a:debian:debian_linux:python3.9-dev, p-cpe:/a:debian:debian_linux:libpython3.9-dbg, p-cpe:/a:debian:debian_linux:idle-python3.9, p-cpe:/a:debian:debian_linux:python3.9-venv, p-cpe:/a:debian:debian_linux:libpython3.9-minimal, p-cpe:/a:debian:debian_linux:libpython3.9
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/12/2
漏洞发布日期: 2021/4/7
参考资料信息
CVE: CVE-2015-20107, CVE-2020-10735, CVE-2021-28861, CVE-2021-29921, CVE-2021-3426, CVE-2021-3733, CVE-2021-3737, CVE-2021-4189, CVE-2022-42919, CVE-2022-45061, CVE-2023-24329, CVE-2023-27043, CVE-2023-40217, CVE-2023-6597, CVE-2024-0397, CVE-2024-0450, CVE-2024-11168, CVE-2024-4032, CVE-2024-6232, CVE-2024-6923, CVE-2024-7592, CVE-2024-8088, CVE-2024-9287