当前位置:首页 > Liunx教程 >

RHSA-2020:2068: python-pip 安全更新

发布时间:2021-03-31 10:59:41 作者:佚名 阅读:(21)

最近收到了服务器有漏洞的通知,提示:RHSA-2020:2068:python-pip安全更新,接下来吾爱编程就为大家介绍一下python-pip安全更新的解决方法,有需要的小伙伴可以参考一下:

1、漏洞提示:

RHSA-2020:2068: python-pip 安全更新

2、漏洞描述:

漏洞编号 漏洞公告 漏洞描述
CVE-2018-18074

从HTTPS重定向到HTTP不会删除授权headers导致敏感信息泄漏

在2018-09-14之前通过2.19.1的Requests程序包在收到相同主机名https-to-http重定向后,会向HTTP URI发送HTTP Authorization标头,这使远程攻击者更容易通过嗅探来发现凭据网络。

CVE-2018-20060

跨主机重定向不会删除Authorization header允许凭据暴露

1.23版本之前的urllib 3在遵循cross-origin redirect (即主机、端口或方案不同的重定向)时不会删除Authorization HTTP header。这允许授权头中的凭据暴露于意外主机或以明文传输。

CVE-2019-11236

CRLF注入由于没有编码 '\r\n'序列导致可能对内部服务的攻击。

在 Python的urllib3 library through 1.24.1中,如果攻击者控制请求参数,则可以进行CRLF注入。

CVE-2019-11324

应该抛出错误时认证错误处理

Python的 1.24.2之前的urllib3库错误地处理了某些情况,其中所需的CA证书集与CA证书的OS存储区不同,这导致SSL连接在验证失败是正确结果的情况下成功。这与使用ssl_context、ca_certs或ca_certs_dir参数有关。

3、影响说明:

软件:python 2.7.5-88.el7
命中:python version less than 0:2.7.5-90.el7
路径:/usr/bin/pydoc
软件:python-devel 2.7.5-88.el7
命中:python-devel version less than 0:2.7.5-90.el7
路径:/usr/bin/python-config 
软件:python-libs 2.7.5-88.el7
命中:python-libs version less than 0:2.7.5-90.el7
路径:/etc/python
软件:python3-pip 9.0.3-7.el7_7
命中:python3-pip version less than 0:9.0.3-7.el7_8
路径:/usr/bin/pip-3

4、解决方法:

yum update python
yum update python-devel
yum update python-libs
yum update python3-pip

5、重启验证:

reboot

RHSA-2020:2068: python-pip 安全更新


以上就是吾爱编程为大家介绍的关于python-pip安全更新解决方法的全部内容了,希望对大家有所帮助,了解更多相关文章请关注吾爱编程网!

欢迎分享转载→ RHSA-2020:2068: python-pip 安全更新

© 2015-2021 - 吾爱编程网 版权所有 苏ICP备18033726号-1关于我们 - 网站声明 - 联系我们