RHSA-2020:2068: python-pip 安全更新
2021-02-04 10:34:50
449
阿里云服务器收到 'RHSA-2020:2068: python-pip 安全更新'漏洞,接下来编程爱好者之家为大家讲解下解决方案:
1.漏洞提示
RHSA-2020:2068: python-pip 安全更新
2.漏洞描述
| 漏洞编号 | 漏洞名称 | 漏洞描述 |
| CVE-2018-18074 | 从HTTPS重定向到HTTP不会删除授权headers导致敏感信息泄漏 | 在2018-09-14之前通过2.19.1的Requests程序包在收到相同主机名https-to-http重定向后,会向HTTP URI发送HTTP Authorization标头,这使远程攻击者更容易通过嗅探来发现凭据网络。 |
| CVE-2018-20060 | 跨主机重定向不会删除Authorization header允许凭据暴露 | 1.23版本之前的urllib 3在遵循cross-origin redirect (即主机、端口或方案不同的重定向)时不会删除Authorization HTTP header。这允许授权头中的凭据暴露于意外主机或以明文传输。 |
| CVE-2019-11236 | CRLF注入由于没有编码 '\r\n'序列导致可能对内部服务的攻击。 | 在 Python的urllib3 library through 1.24.1中,如果攻击者控制请求参数,则可以进行CRLF注入。 |
| CVE-2019-11324 | 应该抛出错误时认证错误处理 | Python的 1.24.2之前的urllib3库错误地处理了某些情况,其中所需的CA证书集与CA证书的OS存储区不同,这导致SSL连接在验证失败是正确结果的情况下成功。这与使用ssl_context、ca_certs或ca_certs_dir参数有关。 |
3.影响说明
软件:python3-pip 9.0.3-7.el7_7 命中:python3-pip version less than 0:9.0.3-7.el7_8 路径:/usr/bin/pip-3
4.解决方案
yum update python3-pip
5.重启验证
reboot
同类文章
-
Could not resolve host: mirrors.cloud.aliyuncs.com; Unknown error
-
permission denied是什么意思呢-怎么解决permission denied的问题
-
linux安装ipset封ip
-
centos7安装配置svn服务器
-
RHSA-2021:0221: sudo 安全更新-中危
-
网站配置SSL证书(https),使网站可以通过https访问
-
centos7安装memcached以及php7的memcached拓展
-
CentOS 7 安装 LNMP 环境
-
linux通过rsync命令将一个服务器上文件备份到另一个服务器上
-
阿里云服务器怎么整体迁移到华为云服务器