Debian DLA-4613:python-aiohttp-doc - 安全更新
high Nessus 插件 ID 318080
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 11 主机上存在安装的程序包,该程序包受到 DLA-4613 公告中提及的多个漏洞的影响。------------------------------------------------------------------------- Debian LTS 公告 [email protected] DLA-4613-1 Leidert 2026 https://www.debian.org/lts/security/Daniel 年 6 月 1 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------
程序包:python-aiohttp 版本:3.7.4-1+deb11u2 CVE ID: CVE-2025-53643 CVE-2025-69224 CVE-2025-69225 CVE-2025-69226 CVE-2025-69227 CVE-2025-69228 CVE-2025-69229 CVE-2026-22815 CVE-2026-34513 CVE-2026-34514 CVE-2026-34516 CVE-2026-34517 CVE-2026-34518 CVE-2026-34519 CVE-2026-34520 CVE-2026-34525
在适用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架 aiohttp 中发现多个漏洞。
CVE-2025-53643
因未解析 HTTP 请求的尾部而导致的请求走私漏洞。
CVE-2025-69224
可能在存在非 ASCII 字符的 HTTP 解析器中发起请求走私攻击。
CVE-2025-69225
允许在 Range 标头中显示非 ASCII 小数的解析器逻辑。
CVE-2025-69226
路径遍历漏洞,允许攻击者确定是否存在路径组件。
CVE-2025-69227
处理 POST 正文时,绕过断言语句时可发生无限循环,从而导致可能的 DoS 攻击。
CVE-2025-69228
可能的 DoS 攻击可使用 Request.post() 耗尽内存从而导致服务器冻结。
CVE-2025-69229
处理分块消息,在接收大量区块时,可能会造成 CPU 使用率被过度阻断。
CVE-2026-22815
由于对标头和尾部处理的限制不足,导致内存使用未达到上限。
CVE-2026-34513
内存使用过多,可能因不受限制的 DNS 缓存而导致 DoS。
CVE-2026-34514
标头注入。
CVE-2026-34516
具有过多部分标头的响应会导致潜在的 DoS 漏洞。
CVE-2026-34517
某些多部分表单字段可能会造成过度内存使用,这是因为在检查client_max_size之前将整个字段读入内存所致。
CVE-2026-34518
跟随重定向至其他源时,通过丢弃 Cookie 和 Proxy-Authorization 标头泄露敏感信息。
CVE-2026-34519
通过 reason 参数进行标头注入。
CVE-2026-34520
可能通过根据 RFC 9110 检查控制字符标头值造成的安全绕过。
CVE-2026-34525
可以复制标头,例如主机标头。
对于 Debian 11 bullseye,这些问题已在 3.7.4-1+deb11u2 版本中修复。
我们建议您升级 python-aiohttp 程序包。
如需了解 python-aiohttp 的详细安全状态,请参阅其安全跟踪页面:
https://security-tracker.debian.org/tracker/python-aiohttp
有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息,请访问以下网址: https://wiki.debian.org/LTSAttachment:signature.ascDescription: 此消息部分已经过数字签署
Tenable 已直接从 Debian 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 python-aiohttp-doc 程序包。另见
http://www.nessus.org/u?4b73efdc
https://security-tracker.debian.org/tracker/CVE-2025-53643
https://security-tracker.debian.org/tracker/CVE-2025-69224
https://security-tracker.debian.org/tracker/CVE-2025-69225
https://security-tracker.debian.org/tracker/CVE-2025-69226
https://security-tracker.debian.org/tracker/CVE-2025-69227
https://security-tracker.debian.org/tracker/CVE-2025-69228
https://security-tracker.debian.org/tracker/CVE-2025-69229
https://security-tracker.debian.org/tracker/CVE-2026-22815
https://security-tracker.debian.org/tracker/CVE-2026-34513
https://security-tracker.debian.org/tracker/CVE-2026-34514
https://security-tracker.debian.org/tracker/CVE-2026-34516
https://security-tracker.debian.org/tracker/CVE-2026-34517
https://security-tracker.debian.org/tracker/CVE-2026-34518
https://security-tracker.debian.org/tracker/CVE-2026-34519
https://security-tracker.debian.org/tracker/CVE-2026-34520
插件详情
严重性: High
ID: 318080
文件名: debian_DLA-4613.nasl
版本: 1.1
类型: Local
代理: unix
发布时间: 2026/6/1
最近更新时间: 2026/6/1
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS 分数来源: CVE-2025-53643
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
风险因素: High
Base Score: 8.7
Threat Score: 6.6
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2026-34516
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:python-aiohttp-doc, p-cpe:/a:debian:debian_linux:python3-aiohttp-dbg, p-cpe:/a:debian:debian_linux:python3-aiohttp, cpe:/o:debian:debian_linux:11.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2026/6/1
漏洞发布日期: 2025/7/14
参考资料信息
CVE: CVE-2025-53643, CVE-2025-69224, CVE-2025-69225, CVE-2025-69226, CVE-2025-69227, CVE-2025-69228, CVE-2025-69229, CVE-2026-22815, CVE-2026-34513, CVE-2026-34514, CVE-2026-34516, CVE-2026-34517, CVE-2026-34518, CVE-2026-34519, CVE-2026-34520, CVE-2026-34525