Amazon Linux AMI : python27 / python35、python36 (ALAS-2020-1342)
medium Nessus 插件 ID 133653
语言:
简介
远程 Amazon Linux AMI 主机缺少安全更新。描述
Python 2.7.16 及之前版本、3.x 到 3.6.9,以及 3.7.x 到 3.7.4 的 Python 中的文档 XML-RPC 服务器通过 server_title 字段,存在 XSS。在 Python 2.x 的 Lib/DocXMLRPCServer.py 中,以及在 Python 3.x 的 Lib/xmlrpc/server.py 中会发生这个情况。如果使用不受信任输入调用 set_server_title,任意 JavaScript 可被交付给访问此服务器的 http URL 的客户端。(CVE-2019-16935)解决方案
运行 'yum update python27' 以更新系统。运行 'yum update python35' 以更新系统。运行 'yum update python36' 以更新系统。另见
插件详情
严重性: Medium
ID: 133653
文件名: ala_ALAS-2020-1342.nasl
版本: 1.3
类型: local
代理: unix
发布时间: 2020/2/13
最近更新时间: 2024/3/27
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.8
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.4
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2019-16935
CVSS v3
风险因素: Medium
基本分数: 6.1
时间分数: 5.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:amazon:linux:python27, p-cpe:/a:amazon:linux:python27-debuginfo, p-cpe:/a:amazon:linux:python27-devel, p-cpe:/a:amazon:linux:python27-libs, p-cpe:/a:amazon:linux:python27-test, p-cpe:/a:amazon:linux:python27-tools, p-cpe:/a:amazon:linux:python35, p-cpe:/a:amazon:linux:python35-debuginfo, p-cpe:/a:amazon:linux:python35-devel, p-cpe:/a:amazon:linux:python35-libs, p-cpe:/a:amazon:linux:python35-test, p-cpe:/a:amazon:linux:python35-tools, p-cpe:/a:amazon:linux:python36, p-cpe:/a:amazon:linux:python36-debug, p-cpe:/a:amazon:linux:python36-debuginfo, p-cpe:/a:amazon:linux:python36-devel, p-cpe:/a:amazon:linux:python36-libs, p-cpe:/a:amazon:linux:python36-test, p-cpe:/a:amazon:linux:python36-tools, cpe:/o:amazon:linux
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2020/2/13
漏洞发布日期: 2019/9/28
参考资料信息
CVE: CVE-2019-16935
ALAS: 2020-1342