公告ID(KYSA-202204-1057)
公告ID:KYSA-202204-1057
公告摘要:python3安全漏洞
等級(jí):Moderate
發(fā)布日期:2022-04-22
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2021-23336
描述:cpython 存在環(huán)境問(wèn)題漏洞�,攻擊者可利用該漏洞使用分號(hào)(;)分隔查詢參數(shù),導(dǎo)致惡意請(qǐng)求被緩存為完全安全的請(qǐng)求�。
·CVE-2021-3177
描述:在python中發(fā)現(xiàn)了一個(gè)缺陷。在Python中提供的ctypes模塊中發(fā)現(xiàn)了基于堆棧的緩沖區(qū)溢出��。使用ctypes而未仔細(xì)驗(yàn)證傳遞給它的輸入的應(yīng)用程序可能容易受到此漏洞的攻擊�����,這將允許攻擊者溢出堆棧上的緩沖區(qū)并使應(yīng)用程序崩潰�。此漏洞的最大威脅是系統(tǒng)可用性�。
·CVE-2021-3426
描述:Python是Python基金會(huì)的一套開(kāi)源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語(yǔ)言�。該語(yǔ)言具有可擴(kuò)展、支持模塊和包���、支持多種平臺(tái)等特點(diǎn)�����。Python pydoc 存在信息泄露漏洞�,該漏洞允許通過(guò)pydoc公開(kāi)信息���。
·CVE-2021-3737
描述:在python中發(fā)現(xiàn)了一個(gè)缺陷�����。python的HTTP客戶端代碼中處理不當(dāng)?shù)腍TTP響應(yīng)可能允許控制HTTP服務(wù)器的遠(yuǎn)程攻擊者使客戶端腳本進(jìn)入無(wú)限循環(huán)�,從而消耗CPU時(shí)間。此漏洞的最大威脅是系統(tǒng)可用性�����。
·CVE-2021-4189
描述:Python是Python基金會(huì)的一套開(kāi)源的�、面向?qū)ο蟮某绦蛟O(shè)計(jì)語(yǔ)言。該語(yǔ)言具有可擴(kuò)展��、支持模塊和包��、支持多種平臺(tái)等特點(diǎn)�。python 存在代碼問(wèn)題漏洞,該漏洞源于在 Python 中發(fā)現(xiàn)了一個(gè)缺陷��,特別是在 PASV(被動(dòng))模式下使用 FTP(文件傳輸協(xié)議)客戶端庫(kù)時(shí)����。缺陷在于默認(rèn)情況下 FTP 客戶端如何信任來(lái)自 PASV 響應(yīng)的主機(jī)。攻擊者可以利用此漏洞設(shè)置惡意 FTP 服務(wù)器,該服務(wù)器可以欺騙 FTP 客戶端連接回給定的 IP 地址和端口�����。這可能導(dǎo)致 FTP 客戶端掃描端口��,否則這些端口是不可能的�����。ftplib 現(xiàn)在不再使用返回的地址���,而是使用我們已經(jīng)連接到的 IP 地址。對(duì)于想要舊行為的極少數(shù)用戶�����,請(qǐng)將 `ftplib.FTP` 實(shí)例上的 `trust_server_pasv_ipv4_address` 屬性設(shè)置為 True�����。
·CVE-2022-0391
描述:Python是Python基金會(huì)的一套開(kāi)源的�����、面向?qū)ο蟮某绦蛟O(shè)計(jì)語(yǔ)言����。該語(yǔ)言具有可擴(kuò)展���、支持模塊和包、支持多種平臺(tái)等特點(diǎn)�����。Python 存在注入漏洞��,該漏洞允許攻擊者輸入精心設(shè)計(jì)的URL�����,導(dǎo)致注入攻擊�����。
2.受影響的軟件包
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP1
·aarch64架構(gòu):
python3���、python3-debug�����、python3-devel����、python3-help
·x86_64架構(gòu):
python3、python3-debug����、python3-devel、python3-help
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP2
·aarch64架構(gòu):
python3���、python3-debug��、python3-devel��、python3-help
·x86_64架構(gòu):
python3、python3-debug��、python3-devel���、python3-help
3.軟件包修復(fù)版本
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP1 (aarch64���、x86_64)
python3-3.7.9-20.p01.se.ky10或以上版本
python3-debug-3.7.9-20.p01.se.ky10或以上版本
python3-devel-3.7.9-20.p01.se.ky10或以上版本
python3-help-3.7.9-20.p01.se.ky10或以上版本
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP2 (aarch64、x86_64)
python3-3.7.9-20.p01.se.ky10或以上版本
python3-debug-3.7.9-20.p01.se.ky10或以上版本
python3-devel-3.7.9-20.p01.se.ky10或以上版本
python3-help-3.7.9-20.p01.se.ky10或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級(jí)安裝
1.打開(kāi)軟件包源配置文件��,根據(jù)倉(cāng)庫(kù)地址進(jìn)行修改。
倉(cāng)庫(kù)源地址:
銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP1
aarch64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/
銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP2
aarch64:https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級(jí)���,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級(jí)安裝
通過(guò)軟件包地址下載軟件包����,使用軟件包升級(jí)命令根據(jù)受影響的軟件包
列表進(jìn)行升級(jí)安裝, 命令如下:
yum install Packagename
3.升級(jí)完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2021-23336:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2021-3177:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2021-3426:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2021-3737:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2021-4189:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2022-0391:無(wú)需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
5.軟件包下載地址
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP1
python3(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/python3-3.7.9-20.p01.se.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/python3-debug-3.7.9-20.p01.se.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/python3-devel-3.7.9-20.p01.se.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/python3-help-3.7.9-20.p01.se.ky10.noarch.rpm
python3(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/python3-3.7.9-20.p01.se.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/python3-debug-3.7.9-20.p01.se.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/python3-devel-3.7.9-20.p01.se.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/python3-help-3.7.9-20.p01.se.ky10.noarch.rpm
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP2
python3(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/python3-3.7.9-20.p01.se.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/python3-debug-3.7.9-20.p01.se.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/python3-devel-3.7.9-20.p01.se.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/python3-help-3.7.9-20.p01.se.ky10.noarch.rpm
python3(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/python3-3.7.9-20.p01.se.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/python3-debug-3.7.9-20.p01.se.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/python3-devel-3.7.9-20.p01.se.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/python3-help-3.7.9-20.p01.se.ky10.noarch.rpm
注:其他相關(guān)依賴包請(qǐng)到相同目錄下載
6.修復(fù)驗(yàn)證
使用軟件包查詢命令,查看相關(guān)軟件包版本是否與修復(fù)版本一致�,如果版本一致��,則說(shuō)明修復(fù)成功���。
sudo rpm -qa | grep Packagename
