检测

GLSA-202405-01:Python、PyPy3:多个漏洞

high Nessus 插件 ID 194974

语言:

描述

远程主机受到 GLSA-202405-01 中所述漏洞的影响(Python、PyPy3:多种漏洞)

 - 在 POSIX 平台上的 CPython 3.12.0“子进程”模块中发现问题。问题已在 CPython 3.12.1 中修复,不影响其他稳定版本。将包含空列表的“extra_groups=”参数用作值(即“extra_groups=[]”)时,逻辑回归为不在调用“exec()”之前调用“setgroups(0, NULL)”,因此不会终止原始进程的组,然后再启动新进程。不使用参数或使用除空列表以外的任何值都没有问题。此问题仅影响以足够进行“setgroups”系统调用的权限(通常为“root”)运行的 CPython 进程。(CVE-2023-6507)

 - 在 CPython“tempfile.TemporaryDirectory”类别中发现一个问题,会影响版本 3.12.1、3.11.7、3.10.13、3.9.18、3.8.18 和之前版本。tempfile.TemporaryDirectory 类别会在清理权限相关错误期间取消引用符号链接。这表示可运行特权程序的用户在某些情况下可修改符号链接引用的文件的权限。
 (CVE-2023-6597)

 - 3.11.4 之前的 Python 的 urllib.parse 组件中存在一个问题,允许攻击者通过提供以空白字符开头的 URL 绕过阻止列表方法。(CVE-2023-24329)

 - 在 3.8.18 版之前的 Python、3.9.18 版之前的 Python 3.9.x、3.10.13 版之前的 Python 3.10.x 以及 3.11.5 版之前的 Python 3.11.x 中发现一个问题。这个问题主要影响使用 TLS 客户端身份验证的服务器(如 HTTP 服务器)。如果已经创建了 TLS 服务器端套接字,则请将数据接收到套接字缓存区中,然后迅速关闭,接着您便会看到短暂出现的窗口,在此期间,SSLSocket 实例会将套接字检测为“未连接”,而且不会初始化握手,缓冲的数据仍可从套接字缓存区读取。如果服务器端 TLS 对等机预期将进行客户端证书认证,此数据就无需接受认证,此外,服务器端 TLS 对等机也无法将其与有效的 TLS 流数据区分开来。数据的大小受到缓冲区适合数量的限制。(TLS 连接无法直接用于数据泄露,因为易受攻击的代码路径要求在 SSLSocket 初始化期间关闭连接。)(CVE-2023-40217)

 - 在截至 3.11.4 的 Python 3.11 中发现一个问题。如果将包含“\0”字节的路径传递到 os.path.normpath(),路径将在第一个“\0”字节处意外截断。在某些看似合理的情况下,应用程序出于安全原因会在 Python 3.10.x 或更早版本中拒绝某个文件名,但 Python 3.11.x 不会再拒绝该文件名。(CVE-2023-41105)

 - 在 CPython“zipfile”模块中发现一个问题,会影响版本 3.12.1、3.11.7、3.10.13、3.9.18、3.8.18 和之前版本。zipfile 模块易受到 quoted-overlap zip-bombs 攻击,后者利用 zip 格式创建具有高压缩比的 zip-bomb。修复的 CPython 版本使 zipfile 模块拒绝与存档中的条目重叠的 zip 存档。(CVE-2024-0450)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

所有 Python、PyPy3 用户都应升级到最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=dev-lang/python-3.12.1:3.12 # emerge --ask --oneshot --verbose >=dev-lang/python-3.11.9:3.11 # emerge --ask --oneshot --verbose >=dev-lang/python-3.10.14:3.10 # emerge --ask --oneshot --verbose >=dev-lang/python-3.9.19:3.9 # emerge --ask --oneshot --verbose >=dev-lang/python-3.8.19:3.8 # emerge --ask --oneshot --verbose >=dev-python/pypy3-7.3.16 # emerge --ask --oneshot --verbose >=dev-python/pypy3_10-7.3.16 # emerge --ask --oneshot --verbose >=dev-python/pypy3_9-7.3.16

另见

https://security.gentoo.org/glsa/202405-01

https://bugs.gentoo.org/show_bug.cgi?id=884653

https://bugs.gentoo.org/show_bug.cgi?id=897958

https://bugs.gentoo.org/show_bug.cgi?id=908018

https://bugs.gentoo.org/show_bug.cgi?id=912976

https://bugs.gentoo.org/show_bug.cgi?id=919475

https://bugs.gentoo.org/show_bug.cgi?id=927299

插件详情

严重性: High

ID: 194974

文件名: gentoo_GLSA-202405-01.nasl

版本: 1.0

类型: local

发布时间: 2024/5/4

最近更新时间: 2024/5/4

支持的传感器: Nessus

风险信息

VPR

风险因素: High

分数: 7.1

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 6.1

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N

CVSS 分数来源: CVE-2023-41105

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/o:gentoo:linux, p-cpe:/a:gentoo:linux:python, p-cpe:/a:gentoo:linux:pypy3_10, p-cpe:/a:gentoo:linux:pypy3, p-cpe:/a:gentoo:linux:pypy3_9

必需的 KB 项: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2024/5/4

漏洞发布日期: 2023/2/17

参考资料信息

CVE: CVE-2023-24329, CVE-2023-40217, CVE-2023-41105, CVE-2023-6507, CVE-2023-6597, CVE-2024-0450