Scientific Linux 安全更新 6.x i686/x86_64 中的 python (2015:1330)
critical Nessus 插件 ID 85206
语言:
简介
远程 Scientific Linux 主机缺少一个或多个安全更新。描述
远程 Scientific Linux 6 主机上存在安装的程序包该程序包受到公告 SLSA-2015:1330-1 中提及的多个漏洞的影响。- 在 Python 2.7.7 之前的 2.5、3.3.4 之前的 3.x 以及 3.4rc1 之前的 3.4.x 中,Modules/socketmodule.c 中的 socket.recvfrom_into 函数中的缓冲区溢出允许远程攻击者通过构建的字符串执行任意代码。(CVE-2014-1912)
- Python 2.7.5 和 3.3.4 中的 CGIHTTPServer 模块未正确处理使用 URL 编码作为路径分隔符的 URL,允许远程攻击者读取脚本源代码或进行目录遍历攻击,并通过构建的字符序列执行非预期代码,%2f 分隔符即为一例。(CVE-2014-4650)
- 2.7.8 之前的 Python 的 bufferobject.c 中的整数溢出允许上下文有关的攻击者通过“buffer”函数中的较大“大小”和“偏移”来获取进程内存中的敏感信息。
(CVE-2014-7185)
- 拒绝原因多个 Python 版本未正确限制 readline 调用其允许远程攻击者通过长字符串造成拒绝服务内存消耗与 (1) httplib 有关 - 已在 2.7.4、 2.6.9和 中修复 3.3.3(2) ftplib - 已在 2.7.6、 2.6.9、 3.3.3中修复(3) imaplib - 未在 2.7.x中修复已在 2.6.9、 3.3.3中修复(4) nntplib - 已在 2.7.6、 2.6.9、 3.3.3中修复(5) poplib - 未在 2.7.x中修复已在 2.6.9、 3.3.3中修复和 (6) smtplib - 在 2.7.x中尚未修复请在 2.6.9中修复未在 3.3.x中修复。注意此问题已被拒绝因为它与 CNT1 不兼容可在 CVE 计数决策中独立修复 (CVE-2013-1752)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
https://www.scientificlinux.org/category/sl-errata/slsa-20151330-1
插件详情
严重性: Critical
ID: 85206
文件名: sl_20150722_python_on_SL6_x.nasl
版本: 2.8
类型: local
代理: unix
发布时间: 2015/8/4
最近更新时间: 2025/8/29
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2014-4650
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 9.4
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:H/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:fermilab:scientific_linux:python-devel, p-cpe:/a:fermilab:scientific_linux:tkinter, cpe:/o:fermilab:scientific_linux, p-cpe:/a:fermilab:scientific_linux:python-tools, p-cpe:/a:fermilab:scientific_linux:python-libs, p-cpe:/a:fermilab:scientific_linux:python-test, p-cpe:/a:fermilab:scientific_linux:python, p-cpe:/a:fermilab:scientific_linux:python-debuginfo
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2015/7/22
漏洞发布日期: 2014/3/1