Amazon Linux AMI:python34 (ALAS-2019-1324)

critical Nessus 插件 ID 131244
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Amazon Linux AMI 主机缺少安全更新。

描述

自提交 d537ab0ff9767ef024f26246899728f0116b1ec3 后,在 python 中发现 CVE-2019-9636 安全性回归问题,它仍然允许攻击者滥用 URL 用户和密码部分来恶意利用 CVE-2019-9636。应用程序解析用户提供的 URL 来存储 cookie、验证凭据或其他类信息时,有可能使攻击者提供特制 URL 让应用程序定位主机相关信息(例如,cookie 和验证数据)并将它们发送至不同于正确主机的主机,除非 URL 已得到正确解析。攻击的结果可能因应用程序而有不同。(CVE-2019-10160) 在 Python 2.7.16 及之前的 2.x 版本中的 urllib2,还有 Python 3.7.3 及之前的 3.x 版本中的 urllib 中发现一个问题,其中若攻击者控制了 url 参数,便可能发生 CRLF 注入,使用 \r\n 的 urllib.request.urlopen 的第一个参数(特别是在 ? 字符后的查询字符串中),随后是 HTTP 标头或 Redis 命令即为一例。(CVE-2019-9740) Python 2.7.16 及之前的 2.x 版本中的 urllib 支持 local_file: scheme,这让远程攻击者更容易绕过列入黑名单文件:URI 的保护机制,触发 urllib.urlopen('local_file:///etc/passwd') 调用即为一例。(CVE-2019-9948) 在 Python 2.7.16 及之前的 2.x 版本中的 urllib2,还有 Python 3.7.3 及之前的 3.x 版本中的 urllib 中发现一个问题,其中若攻击者控制了 url 参数,便可能发生 CRLF 注入,使用 \r\n 的 urllib.request.urlopen 的第一个参数(特别是在缺少 ? 字符的路径组件中),随后是 HTTP 标头或 Redis 命令即为一例。这与 CVE-2019-9740 的查询字符串问题相似。(CVE-2019-9947) 在 Python 2.7.16 及之前版本、3.5.7 及之前的 3.x 版本、3.6.9 及之前的 3.6.x 版本,还有 3.7.4 及之前的 3.7.x 版本中发现问题。电子邮件模块错误解析包含多个 @ 字符的电子邮件地址。使用电子邮件模块,并对消息的发件人/收件人标头实施某些检查的应用程序可能会被诱使接受本应拒绝的电子邮件地址。攻击可能与 CVE-2019-11340 中相同;但此 CVE 更普遍地适用于 Python。(CVE-2019-16056) Python 2.7.x 到 2.7.16 及 3.x 到 3.7.2 的版本受到下列影响:在 NFKC 规范化期间对 Unicode 编码处理不当(具有错误的 netloc)。影响为:信息泄漏(针对给定主机名缓存的凭据、cookie 等)。组件为:urllib.parse.urlsplit、urllib.parse.urlparse。攻击向量为:一个可能被错误解析的特制 URL,用来定位 cookie 或验证数据,并将该信息发送至与正确解析时不同的主机。(CVE-2019-9636)

解决方案

运行 'yum update python34' 以更新系统。

另见

https://alas.aws.amazon.com/ALAS-2019-1324.html

插件详情

严重性: Critical

ID: 131244

文件名: ala_ALAS-2019-1324.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2019/11/25

最近更新时间: 2019/12/9

依存关系: ssh_get_info.nasl

风险信息

CVSS 分数来源: CVE-2019-9948

VPR

风险因素: High

分数: 8.4

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:N

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: Critical

基本分数: 9.1

时间分数: 7.9

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:python34, p-cpe:/a:amazon:linux:python34-debuginfo, p-cpe:/a:amazon:linux:python34-devel, p-cpe:/a:amazon:linux:python34-libs, p-cpe:/a:amazon:linux:python34-test, p-cpe:/a:amazon:linux:python34-tools, cpe:/o:amazon:linux

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2019/11/22

漏洞发布日期: 2019/3/8

参考资料信息

CVE: CVE-2019-10160, CVE-2019-16056, CVE-2019-9636, CVE-2019-9740, CVE-2019-9947, CVE-2019-9948

ALAS: 2019-1324