Amazon Linux 2 : python (ALAS-2025-2797)
medium Nessus 插件 ID 233392
语言:
简介
远程 Amazon Linux 2 主机缺少安全更新。描述
远程主机上安装的 python 版本低于 2.7.18-1。因此,该软件受到 ALAS2-2025-2797 公告中提及的多个漏洞影响。在 CPython“zipfile”模块中发现一个问题,会影响版本 3.12.2、3.11.8、3.10.13、3.9.18、3.8.18 和之前版本。
zipfile 模块易受到 quoted-overlap zip-bombs 攻击,后者利用 zip 格式创建具有高压缩比的 zip-bomb。修复的 CPython 版本使 zipfile 模块拒绝与存档中的条目重叠的 zip 存档。(CVE-2024-0450)
urllib.parse.urlsplit() 和 urlparse() 函数未正确验证括号里的主机 (“[]”),允许非 IPv6 或 IPvFuture 的主机。此行为不符合 RFC 3986,并且如果多个 URL 解析器处理 URL,可能会产生服务器端请求伪造 (SSRF) 漏洞。(CVE-2024-11168)
存在影响 CPython 的中危漏洞。
序列化电子邮件消息时,电子邮件模块未正确引用电子邮件标头的换行符,从而允许在序列化电子邮件时注入标头。(CVE-2024-6923)
存在影响 CPython 的低危漏洞,尤其是“http.cookies”标准库模块。
针对 cookie 值中引用字符,解析包含反斜线的 cookie 时,解析器将使用具有二次方复杂性的算法,导致在解析该值时占用过量 CPU 资源。(CVE-2024-7592)
Python 标准库函数“urllib.parse.urlsplit”和“urlparse”接受包含方括号的域名,而根据 RFC 3986 标准,此类域名是无效的。方括号仅应用作分隔符,用于在 URL 中指定 IPv6 及 IPvFuture 类型的主机地址。这可能会导致 Python URL 解析器和其他符合规范的 URL 解析器之间出现差异解析。(CVE-2025-0938)
Tenable 已直接从测试产品的安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行 “yum update python” 以更新系统。另见
https://alas.aws.amazon.com/AL2/ALAS-2025-2797.html
https://alas.aws.amazon.com/cve/html/CVE-2024-0450.html
https://alas.aws.amazon.com/cve/html/CVE-2024-11168.html
https://alas.aws.amazon.com/cve/html/CVE-2024-6923.html
https://alas.aws.amazon.com/cve/html/CVE-2024-7592.html
插件详情
严重性: Medium
ID: 233392
文件名: al2_ALAS-2025-2797.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/3/27
最近更新时间: 2025/3/27
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.2
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 6.1
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS 分数来源: CVE-2024-7592
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
风险因素: Medium
Base Score: 6.3
Threat Score: 2.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:L/SA:N
CVSS 分数来源: CVE-2025-0938
漏洞信息
CPE: cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:tkinter, p-cpe:/a:amazon:linux:python-tools, p-cpe:/a:amazon:linux:python-devel, p-cpe:/a:amazon:linux:python-libs, p-cpe:/a:amazon:linux:python, p-cpe:/a:amazon:linux:python-debuginfo, p-cpe:/a:amazon:linux:python-debug, p-cpe:/a:amazon:linux:python-test
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可利用: true
易利用性: No known exploits are available
补丁发布日期: 2025/3/13
漏洞发布日期: 2024/3/19
参考资料信息
CVE: CVE-2024-0450, CVE-2024-11168, CVE-2024-6923, CVE-2024-7592, CVE-2025-0938
IAVA: 2024-A-0748