Ubuntu 11.04 / 11.10：python2.7 漏洞 (USN-1592-1)

medium Nessus 插件 ID 62410

语言：

简介

远程 Ubuntu 主机缺少一个或多个与安全有关的修补程序。

描述

Niels Heinen 发现 urllib 和 urllib2 模块会处理指定重定向至 file: URL 的位置标头。远程攻击者可利用此缺陷获取敏感信息或造成拒绝服务。此问题只影响 Ubuntu 11.04。
(CVE-2011-1521)

已发现 SimpleHTTPServer 未在 Content-Type HTTP 标头中使用字符集参数。攻击者可能利用此缺陷对 Internet Explorer 7 用户执行跨站脚本 (XSS) 攻击。此问题只影响 Ubuntu 11.04。(CVE-2011-4940)

已发现 Python distutils 在创建 ~/.pypirc 文件时包含争用条件。本地攻击者可利用此缺陷获取敏感信息。(CVE-2011-4944)

已发现 SimpleXMLRPCServer 在处理 HTTP POST 请求时未正确验证其输入。远程攻击者可利用此缺陷，通过过度使用 CPU 造成拒绝服务。(CVE-2012-0845)

已发现 Python 容易遭受哈希算法攻击。攻击者可在特定情况下造成拒绝服务。此更新添加了“-R”命令行选项，并且对于具有不可预测值的 salt str 和 datetime 对象，支持将 PYTHONHASHSEED 环境变量设置为“random”。
(CVE-2012-1150)。

解决方案

更新受影响的 python2.7 和/或 python2.7-minimal 程序包。

另见

https://usn.ubuntu.com/1592-1/

插件详情

严重性: Medium

ID: 62410

文件名: ubuntu_USN-1592-1.nasl

版本: 1.10

类型: local

代理: unix

系列: Ubuntu Local Security Checks

发布时间: 2012/10/3

最近更新时间: 2019/9/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P

漏洞信息

CPE: p-cpe:/a:canonical:ubuntu_linux:python2.7, p-cpe:/a:canonical:ubuntu_linux:python2.7-minimal, cpe:/o:canonical:ubuntu_linux:11.04, cpe:/o:canonical:ubuntu_linux:11.10

必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

易利用性: No known exploits are available

补丁发布日期: 2012/10/2

漏洞发布日期: 2011/5/24

参考资料信息

CVE: CVE-2011-1521, CVE-2011-4940, CVE-2011-4944, CVE-2012-0845, CVE-2012-1150

BID: 47024, 51239, 51996, 52732, 54083

USN: 1592-1