支持Python的Ubuntu发现了任意代码执行漏洞,需要尽快升级

2021-03-16 17:20   来源: 互联网

Ubuntu是一个基于桌面应用程序的Linux操作系统。它是一个开放源码的免费软件,它提供了一个健壮的、功能强大的计算环境,适用于家庭和商业环境。Ubuntu为世界各地的数百家公司提供业务支持。


支持Python的Ubuntu发现了任意代码执行漏洞,需要尽快升级


3月12日,Ubuntu发布了一个安全更新,修复了支持Python的任意代码执行和拒绝服务等重要漏洞。以下是该漏洞的详细信息:


漏洞细节


资料来源:https://ubuntu.com/security/notices/USN-4754-3


1.CVE-2020-27619,CVE2021-3177CVSS得分:9.8,


Python不正确地处理某些输入。攻击者可能利用此问题执行任意代码或导致拒绝服务。


2.CVE-2019-20907CVSS评分:7.5


image.png


Python错误地处理了一些tar文件。攻击者可能利用此问题导致拒绝服务。


3.CVE-2019-17514CVSS评分:7.5


2016年前Python 2和3文档中的Library/glob.html可能会误导是否进行排序的信息。


4.CVE-2020-8492CVSS评分:6.5


由于urllib.request.acuactBasicAuthHandler的灾难性回溯,Python允许HTTP服务器对客户端执行正则表达式拒绝服务(Redos)攻击。


受影响的产品和版本


支持Python2.7、Python3.7、Python3.8的Ubuntu20.04LTS和Ubuntu18.04LTS将受到影响。


解决办法


您可以通过将系统更新到包的以下版本来解决此问题:


Ubuntu20.04:


Python2.7-极小-2.7.18-1≤20.04.1


Python2.7-2.7.18-1≤20.04.1


Ubuntu18.04:


Python3.8-最小-3.8.0-3≤18.04.1


Python3.7-3.7.5-2≤18.04.4


Python3.8-3.8.0-3≤18.04.1


Python3.7-最小-3.7.5-2≤18.04.4

责任编辑:无量渡口
分享到:
0
【慎重声明】凡本站未注明来源为"科技周刊网"的所有作品,均转载、编译或摘编自其它媒体,转载、编译或摘编的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。如因作品内容、版权和其他问题需要同本网联系的,请在30日内进行!