编程爱好者之家

RHSA-2020:2068: python-pip 安全更新

2021-02-04 162

阿里云服务器收到 'RHSA-2020:2068: python-pip 安全更新'漏洞,接下来编程爱好者之家为大家讲解下解决方案:

1.漏洞提示

RHSA-2020:2068: python-pip 安全更新

2.漏洞描述

漏洞编号漏洞名称漏洞描述
CVE-2018-18074

从HTTPS重定向到HTTP不会删除授权headers导致敏感信息泄漏

在2018-09-14之前通过2.19.1的Requests程序包在收到相同主机名https-to-http重定向后,会向HTTP URI发送HTTP Authorization标头,这使远程攻击者更容易通过嗅探来发现凭据网络。
CVE-2018-20060

跨主机重定向不会删除Authorization header允许凭据暴露

1.23版本之前的urllib 3在遵循cross-origin redirect (即主机、端口或方案不同的重定向)时不会删除Authorization HTTP header。这允许授权头中的凭据暴露于意外主机或以明文传输。 
CVE-2019-11236CRLF注入由于没有编码 '\r\n'序列导致可能对内部服务的攻击。在 Python的urllib3 library through 1.24.1中,如果攻击者控制请求参数,则可以进行CRLF注入。
CVE-2019-11324

应该抛出错误时认证错误处理

Python的 1.24.2之前的urllib3库错误地处理了某些情况,其中所需的CA证书集与CA证书的OS存储区不同,这导致SSL连接在验证失败是正确结果的情况下成功。这与使用ssl_context、ca_certs或ca_certs_dir参数有关。

3.影响说明

软件:python3-pip 9.0.3-7.el7_7

命中:python3-pip version less than 0:9.0.3-7.el7_8

路径:/usr/bin/pip-3

4.解决方案

yum update python3-pip

5.重启验证

reboot


image.png


同类文章

您的赞赏是对小编最大的支持!