支持Python的Ubuntu發現了任意代碼執行漏洞,需要盡快升級
Ubuntu是一個基于桌面應用程序的Linux操作系統。它是一個開放源碼的免費軟件,它提供了一個健壯的、功能強大的計算環境,適用于家庭和商業環境。Ubuntu為世界各地的數百家公司提供業務支持。
支持Python的Ubuntu發現了任意代碼執行漏洞,需要盡快升級
3月12日,Ubuntu發布了一個安全更新,修復了支持Python的任意代碼執行和拒絕服務等重要漏洞。以下是該漏洞的詳細信息:
漏洞細節
資料來源:https://ubuntu.com/security/notices/USN-4754-3
1.CVE-2020-27619,CVE2021-3177CVSS得分:9.8,
Python不正確地處理某些輸入。攻擊者可能利用此問題執行任意代碼或導致拒絕服務。
2.CVE-2019-20907CVSS評分:7.5
Python錯誤地處理了一些tar文件。攻擊者可能利用此問題導致拒絕服務。
3.CVE-2019-17514CVSS評分:7.5
2016年前Python 2和3文檔中的Library/glob.html可能會誤導是否進行排序的信息。
4.CVE-2020-8492CVSS評分:6.5
由于urllib.request.acuactBasicAuthHandler的災難性回溯,Python允許HTTP服務器對客戶端執行正則表達式拒絕服務(Redos)攻擊。
受影響的產品和版本
支持Python2.7、Python3.7、Python3.8的Ubuntu20.04LTS和Ubuntu18.04LTS將受到影響。
解決辦法
您可以通過將系統更新到包的以下版本來解決此問題:
Ubuntu20.04:
Python2.7-極小-2.7.18-1≤20.04.1
Python2.7-2.7.18-1≤20.04.1
Ubuntu18.04:
Python3.8-最小-3.8.0-3≤18.04.1
Python3.7-3.7.5-2≤18.04.4
Python3.8-3.8.0-3≤18.04.1
Python3.7-最小-3.7.5-2≤18.04.4
