支持Python的Ubuntu發(fā)現(xiàn)了任意代碼執(zhí)行漏洞,需要盡快升級
Ubuntu是一個基于桌面應用程序的Linux操作系統(tǒng)。它是一個開放源碼的免費軟件,它提供了一個健壯的、功能強大的計算環(huán)境,適用于家庭和商業(yè)環(huán)境。Ubuntu為世界各地的數(shù)百家公司提供業(yè)務支持。
支持Python的Ubuntu發(fā)現(xiàn)了任意代碼執(zhí)行漏洞,需要盡快升級
3月12日,Ubuntu發(fā)布了一個安全更新,修復了支持Python的任意代碼執(zhí)行和拒絕服務等重要漏洞。以下是該漏洞的詳細信息:
漏洞細節(jié)
資料來源:https://ubuntu.com/security/notices/USN-4754-3
1.CVE-2020-27619,CVE2021-3177CVSS得分:9.8,
Python不正確地處理某些輸入。攻擊者可能利用此問題執(zhí)行任意代碼或導致拒絕服務。
2.CVE-2019-20907CVSS評分:7.5
Python錯誤地處理了一些tar文件。攻擊者可能利用此問題導致拒絕服務。
3.CVE-2019-17514CVSS評分:7.5
2016年前Python 2和3文檔中的Library/glob.html可能會誤導是否進行排序的信息。
4.CVE-2020-8492CVSS評分:6.5
由于urllib.request.acuactBasicAuthHandler的災難性回溯,Python允許HTTP服務器對客戶端執(zhí)行正則表達式拒絕服務(Redos)攻擊。
受影響的產品和版本
支持Python2.7、Python3.7、Python3.8的Ubuntu20.04LTS和Ubuntu18.04LTS將受到影響。
解決辦法
您可以通過將系統(tǒng)更新到包的以下版本來解決此問題:
Ubuntu20.04:
Python2.7-極小-2.7.18-1≤20.04.1
Python2.7-2.7.18-1≤20.04.1
Ubuntu18.04:
Python3.8-最小-3.8.0-3≤18.04.1
Python3.7-3.7.5-2≤18.04.4
Python3.8-3.8.0-3≤18.04.1
Python3.7-最小-3.7.5-2≤18.04.4
