编程爱好者之家

RHSA-2020:1131: python 安全更新解决方案-低危

2021-01-04 15:24:56 337

阿里云服务器收到 'RHSA-2020:1131: python 安全更新'漏洞,接下来编程爱好者之家为大家讲解下解决方案:

1.漏洞提示

RHSA-2020:1131: python 安全更新

2.漏洞描述

漏洞编号漏洞名称漏洞描述
CVE-2018-20852

Cookie域检查返回不正确的结果

3.7.3之前的Python中的Lib/http/cookiejar.py中的http.cookiejar.DefaultPolicy.domain_return_ok无法正确验证域:它可能被诱骗将现有cookie发送到错误的服务器。攻击者可以通过使用主机名带有另一个有效主机名作为后缀的服务器来滥用此漏洞(例如,pythonicexample.com窃取example.com的cookie)。当程序使用http.cookiejar.DefaultPolicy并尝试与攻击者控制的服务器建立HTTP连接时,现有的cookie可能会泄漏给攻击者。这会影响2.x到2.7.16、3.4.10之前的3.x,3.5.7之前的3.5.x,3.6.9之前的3.6.x和3.7.3之前的3.7.x.

3.影响说明

软件:python 2.7.5-86.el7
命中:python version less than 0:2.7.5-88.el7
路径:/usr/bin/pydoc

软件:python-devel 2.7.5-86.el7
命中:python-devel version less than 0:2.7.5-88.el7
路径:/usr/bin/python-config

软件:python-libs 2.7.5-86.el7
命中:python-libs version less than 0:2.7.5-88.el7
路径:/etc/python

软件:python-tools 2.7.5-86.el7
命中:python-tools version less than 0:2.7.5-88.el7
路径:/usr/bin/2to3

软件:tkinter 2.7.5-86.el7
命中:tkinter version less than 0:2.7.5-88.el7
路径:/usr/lib64/python2.7/lib-dynload/_tkinter.so

4.解决方案

yum update python

5.重启验证

reboot


image.png

同类文章