Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - aiohttp 是用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。Python HTTP 解析器的安全性敏感部分在允许的字符集中保留了轻微差异，必须触发错误处理才能稳定地匹配代理的帧边界，从而防止注入其他请求。此外，验证可触发异常，但这些异常的处理方式与其他格式错误的输入不一致。比互联网标准的要求宽松可以协助请求走私，具体取决于部署环境。未处理的异常会造成应用程序服务器和/或其日志记录设施过量消耗资源。此漏洞存在的原因是 CVE-2023-47627 的修复不完整。版本 3.9.2 修复了此漏洞。 (CVE-2024-23829)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Ubuntu 18.04 LTS/20.04 LTS/22.04 LTS/24.04 LTS 主机上安装的一个程序包受到 USN-7642-1 公告中提及的多个漏洞影响。

    Ben Kallus 发现 AIOHTTP 未正确解析 HTTP 标头。远程攻击者可能利用此问题执行请求走私。此问题仅影响 Ubuntu 20.04 LTS 和 Ubuntu 22.04 LTS。(CVE-2023-47627)

    Ivan Novikov 发现 AIOHTTP 未正确验证某些输入。远程攻击者可能利用此问题执行请求走私。此问题仅影响 Ubuntu 18.04 LTS、Ubuntu 20.04 LTS 和 Ubuntu 22.04 LTS。(CVE-2023-49081, CVE-2023-49082)

    Paul J. Dorn 发现 AIOHTTP 未正确验证某些输入。远程攻击者可能利用此问题执行请求走私。此问题仅影响 Ubuntu 20.04 LTS、Ubuntu 22.04 LTS 和 Ubuntu 24.04 LTS。(CVE-2024-23829)

    Takeshi Kaneko 发现 AIOHTTP 未正确审查某些输入。远程攻击者可能利用此问题执行跨站脚本 (XSS) 攻击。(CVE-2024-27306)

    据发现，AIOHTTP 未正确处理某些 POST 请求。远程攻击者可能利用此问题造成拒绝服务。此问题仅影响 Ubuntu 20.04 LTS、Ubuntu 22.04 LTS 和 Ubuntu 24.04 LTS。(CVE-2024-30251)

    Jeppe Bonde Weikop 发现 AIOHTTP 未正确处理某些输入中的解析新行。远程攻击者可能利用此问题执行请求走私。(CVE-2024-52304)

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2024:1878 公告中提及的多个漏洞影响。

    Red Hat Update Infrastructure (RHUI) 提供高度可扩展、高度冗余的框架，以便您管理存储库和内容。它还能使云提供商向 Red Hat Enterprise Linux (RHEL) 实例提供内容和更新。

    安全修复：

    * python-django：EmailValidator/URLValidator 中潜在的正则表达式拒绝服务漏洞 (CVE-2023-36053)

    * python-aiohttp：通过 llhttp HTTP 请求解析器触发的 HTTP 请求走私漏洞 (CVE-2023-37276)

    * python-django：``django.utils.encoding.uri_to_iri()`` 中潜在的拒绝服务漏洞 (CVE-2023-41164)

    * python-django：django.utils.text.Truncator 中可能存在的拒绝服务漏洞 (CVE-2023-43665)

    * python-aiohttp：HTTP 解析器中的多个标头解析问题 (CVE-2023-47627)

    * aiohttp：HTTP 请求修改 (CVE-2023-49081)

    * python-cryptography：加载 PKCS7 证书时发生空取消引用 (CVE-2023-49083)

    * jinja2：将用户输入作为密钥传递至 xmlattr 过滤器时的 HTML 属性注入 (CVE-2024-22195)

    * aiohttp：follow_symlinks 目录遍历漏洞 (CVE-2024-23334)

    * python-ecdsa：容易受到 Minerva 攻击 (CVE-2024-23342)

    * python-aiohttp：http 请求走私 (CVE-2024-23829)

    * Django：“intcomma”筛选器遭到拒绝服务攻击 (CVE-2024-24680)

    * python-django：django.utils.text.Truncator.words() 可能会发生正则表达式拒绝服务 (CVE-2024-27351)

    * aiohttp：如果用户控制使用 aiohttp 客户端的 HTTP 方法，则发生 CRLF 注入 (CVE-2023-49082)

    此 RHUI 更新修复以下错误：

    * 由于使用 distutils，RHEL 8.10 Beta 上的 rhui-installer 失败。此问题已通过更新到不使用 distutils 的更新版本的 ansible-collection-community-crypto 得以解决。

    此 RHUI 更新引入了以下增强：

    * 当首次运行或随时重新运行 RHUI 安装程序或时，本机 Ansible 模块现在用于更新 RHUA 服务器上的程序包。在 rhui-installer 命令行上使用 --ignore-newer-rhel-packages 标记可防止进行此更新。

    * PulpCore 已更新到版本 3.39。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8/9 主机上安装的程序包受到 RHSA-2024:1640 公告中提及的多个漏洞影响。

  - golang: net/http/internal：通过引起资源消耗的 HTTP 请求造成拒绝服务 (DoS) (CVE-2023-39326)

  - GitPython：盲目包含本地文件 (CVE-2023-41040)

  - axios：cookie 中存储的机密数据被泄露 (CVE-2023-45857)

  - python-twisted：twisted.web 中存在无序 HTTP 管道响应 (CVE-2023-46137)

  - python-aiohttp：HTTP 解析器中的多个标头解析问题 (CVE-2023-47627)

  - python-cryptography：加载 PKCS7 证书时发生空取消引用 (CVE-2023-49083)

  - golang-fips/openssl：用于加密和解密 RSA 负载的代码中存在内存泄漏 (CVE-2024-1394)

  - jinja2：将用户输入作为密钥传递至 xmlattr 过滤器时的 HTML 属性注入 (CVE-2024-22195)

  - aiohttp：follow_symlinks 目录遍历漏洞 (CVE-2024-23334)

  - python-aiohttp：http 请求走私 (CVE-2024-23829)

  - Django：“intcomma”模板过滤器中的拒绝服务 (CVE-2024-24680)

  - python-django：django.utils.text.Truncator.words() 可能会发生正则表达式拒绝服务 (CVE-2024-27351)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:2010 公告中提及的多个漏洞的影响。

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

    安全修复：
    * python-pygments：pygments 中的 ReDoS (CVE-2022-40896)
    * python-pycryptodomex：PyCryptodome 和 pycryptodomex 中 OAEP 解密的边信道泄漏 (CVE-2023-52323)
    * satellite：satellite 中的算术溢出 (CVE-2023-4320)
    * automation-hub: Ansible Automation Hub：不安全的 galaxy-importer tarfile 提取 (CVE-2023-5189)
    * jetty：向 CgiServlet 中的用户输入添加不正确的引号 (CVE-2023-36479)
    * python-aiohttp：通过 llhttp HTTP 请求解析器触发的 HTTP 请求走私漏洞 (CVE-2023-37276)
    * rubygem-activesupport：本地加密文件的文件泄露 (CVE-2023-38037)
    * jetty：不当验证 HTTP/1 content-length (CVE-2023-40167)
    * python-django：`django.utils.encoding.uri_to_iri()` 中潜在的拒绝服务漏洞 (CVE-2023-41164)
    * python-django：django.utils.text.Truncator 中可能存在的拒绝服务漏洞 (CVE-2023-43665)
    * python-aiohttp：HTTP 解析器中的多个标头解析问题 (CVE-2023-47627)
    * python-aiohttp：HTTP 请求修改 (CVE-2023-49081)
    * python-aiohttp：如果用户控制使用 aiohttp 客户端的 HTTP 方法，则发生 CRLF 注入 (CVE-2023-49082)
    * rubygem-puma：解析分块传输编码正文时，HTTP 请求走私 (CVE-2024-21647)
    * rubygem-audited：争用条件可导致审核日志被错误地归因于错误的用户 (CVE-2024-22047)
    * python-jinja2：将用户输入作为密钥传递至 xmlattr 过滤器时发生 HTML 属性注入 (CVE-2024-22195)
    * python-aiohttp：Follow_symlinks 目录遍历漏洞 (CVE-2024-23334)
    * python-aiohttp：HTTP 请求走私 (CVE-2024-23829)

    其他变更：
    此更新还修复了多个缺陷并添加了多项增强功能。

    “参考”部分链接的版本说明文档中提供这些更改的文档。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2024:1536 公告中提及的多个漏洞影响。

  - Ansible Automation Hub：不安全的 galaxy-importer tarfile 提取 (CVE-2023-5189)

  - python-django：django.utils.text.Truncator 中可能存在的拒绝服务漏洞 (CVE-2023-43665)

  - python-aiohttp：HTTP 解析器中的多个标头解析问题 (CVE-2023-47627)

  - aiohttp：HTTP 请求修改 (CVE-2023-49081)

  - jinja2：将用户输入作为密钥传递至 xmlattr 过滤器时的 HTML 属性注入 (CVE-2024-22195)

  - aiohttp：follow_symlinks 目录遍历漏洞 (CVE-2024-23334)

  - python-aiohttp：http 请求走私 (CVE-2024-23829)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 11 主机上安装的多个程序包受到 dla-4041 公告中提及的多个漏洞影响。

    ------------------------------------------------------------------------- Debian LTS 公告 DLA-4041-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Jochen Sprickerhof 2025 年 2 月 3 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

    程序包：python-aiohttp 版本：3.7.4-1+deb11u1 CVE ID：CVE-2023-47627 CVE-2023-47641 CVE-2023-49081 CVE-2023-49082 CVE-2024-23334 CVE-2024-23829 CVE-2024-27306 CVE-2024-30251 CVE-2024-52304 Debian 缺陷：

    aiohttp 是用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。目前发现 aiohttp 中有若干问题，这些问题与 HTTP 解析器、链接遍历和索引页面上的 XSS 有关。

    CVE-2023-47627

         AIOHTTP 中的 HTTP 解析器存在大量标头解析问题，这些问题可导致请求走私。仅在启用 AIOHTTP_NO_EXTENSIONS（或不使用预构建的 wheel）的情况下才使用此解析器。

    CVE-2023-47641

        受影响的 aiohttp 版本存在与不一致的 HTTP 协议解释有关的安全漏洞。HTTP/1.1 是持久性协议，如果同时存在 Content-Length(CL) 和 Transfer-Encoding(TE) 标头值，则此漏洞可能会导致解析 HTTP 的两个实体的解释不正确，我们可以利用此错误解析来毒化其他套接字。可能的概念验证 (POC) 是配置同时接受 CL 和 TE 标头的反向代理（前端）并使用 aiohttp 作为后端。aiohttp 会解析任何具有 chunked 的内容，因此我们可以将 chunked123 作为 TE 传递，前端实体会忽略此标头并解析 Content-Length。此漏洞的影响在于：它可能会绕过任何代理规则，使套接字中毒（例如传递身份验证标头），如果同时存在开放重定向漏洞，则攻击者可将两者结合将任意用户重定向至其他网站并记录此请求。

    CVE-2023-49081

        不当验证使攻击者可以修改 HTTP 请求（例如插入新标头），或在攻击者控制 HTTP 版本的情况下创建新的 HTTP 请求。仅当攻击者可以控制请求的 HTTP 版本时，才会产生此漏洞。

    CVE-2023-49082

        不当验证使攻击者可以修改 HTTP 请求（例如插入新标头），或在攻击者控制 HTTP 方法的情况下创建新的 HTTP 请求。仅当攻击者可以控制请求的 HTTP 方法（GET、POST 等）时，才会产生此漏洞。如果攻击者可以控制请求的 HTTP 版本，则能够修改此请求（请求走私）。

    CVE-2024-23334

        将 aiohttp 用作 Web 服务器并配置静态路由时，需要指定静态文件的根路径。
        此外，“follow_symlinks”选项可用于确定是否跟随静态根目录以外的符号链接。
        当“follow_symlinks”设置为 True 时，程序不会验证读取的文件是否在根目录内。这可能导致目录遍历漏洞，造成用户可在未经授权的情况下访问系统上的任意文件，即使在没有符号链接的情况下亦然。建议使用的缓解措施是禁用 follow_symlinks 并使用反向代理。

    CVE-2024-23829

        Python HTTP 解析器的安全性敏感部分在允许的字符集中保留了轻微差异，必须触发错误处理才能稳定地匹配代理的帧边界，从而防止注入其他请求。此外，验证可触发异常，但这些异常的处理方式与其他格式错误的输入不一致。比互联网标准的要求宽松可以协助请求走私，具体取决于部署环境。未处理的异常会造成应用程序服务器和/或其日志记录设施过量消耗资源。

    CVE-2024-27306

        用于处理静态文件的索引页面上存在 XSS 漏洞。

    CVE-2024-30251

         在受影响的版本中，攻击者可发送特别构建的 POST (multipart/form-data) 请求。当 aiohttp 服务器处理该请求时，服务器将进入无限循环，且无法处理任何进一步请求。攻击者可在发送单个请求后阻止应用程序处理请求。

    CVE-2024-52304

        Python 解析器无法正确解析区块扩展中的换行符，这在某些情况下可能导致请求走私漏洞。如果安装了纯 Python 版本的 aiohttp（即
        没有常见的 C 扩展）或启用了“AIOHTTP_NO_EXTENSIONS”，攻击者或许可以执行请求走私攻击，以绕过某些防火墙或代理保护。

    对于 Debian 11 bullseye，这些问题已在 3.7.4-1+deb11u1 版本中修复。

    我们建议您升级 python-aiohttp 程序包。

    如需了解 python-aiohttp 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/python-aiohttp

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP signature

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
227451	Linux Distros 未修补的漏洞: CVE-2024-23829	Nessus	Misc.	2025/3/5	2025/9/1	medium
242337	Ubuntu 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS：AIOHTTP 漏洞 (USN-7642-1)	Nessus	Ubuntu Local Security Checks	2025/7/18	2025/7/18	medium
193467	RHEL 8：RHUI 4.8 版本 - 安全更新、缺陷修复和增强（中危）(RHSA-2024:1878)	Nessus	Red Hat Local Security Checks	2024/4/18	2024/11/7	critical
193086	RHEL 8/9：Red Hat Ansible Automation Platform 2.4 产品安全和缺陷修复更新（中危）(RHSA-2024:1640)	Nessus	Red Hat Local Security Checks	2024/4/9	2024/11/7	critical
199805	RHEL 8：Satellite 6.15.0（重要）(RHSA-2024:2010)	Nessus	Red Hat Local Security Checks	2024/6/3	2025/3/6	high
194355	RHEL 8：Satellite 6.14.3 异步安全更新（重要）(RHSA-2024:1536)	Nessus	Red Hat Local Security Checks	2024/4/28	2025/3/6	high
214900	Debian dla-4041：python-aiohttp-doc - 安全更新	Nessus	Debian Local Security Checks	2025/2/3	2025/8/18	medium

检测

插件搜索

medium

medium

critical

critical

high

high

medium