RHSA-2020:1131-中危: python 安全更新
| 漏洞编号 | 漏洞公告 | 漏洞描述 |
| CVE-2018-20852 | Cookie域检查返回不正确的结果 | 3.7.3之前的Python中的Lib/http/cookiejar.py中的http.cookiejar.DefaultPolicy.domain_return_ok无法正确验证域:它可能被诱骗将现有cookie发送到错误的服务器。攻击者可以通过使用主机名带有另一个有效主机名作为后缀的服务器来滥用此漏洞(例如,pythonicexample.com窃取example.com的cookie)。当程序使用http.cookiejar.DefaultPolicy并尝试与攻击者控制的服务器建立HTTP连接时,现有的cookie可能会泄漏给攻击者。这会影响2.x到2.7.16、3.4.10之前的3.x,3.5.7之前的3.5.x,3.6.9之前的3.6.x和3.7.3之前的3.7.x. |
| CVE-2019-16056 | email.utils.parseaddr错误地解析电子邮件地址 | 在2.7.16、3.x至3.5.7、3.6.x至3.6.9和3.7.x至3.7.4的Python中发现了一个问题。电子邮件模块错误地解析了包含多个@字符的电子邮件地址。使用电子邮件模块并在邮件的“发件人/收件人”标头上执行某种检查的应用程序可能会被欺骗为接受应该拒绝的电子邮件地址。攻击可能与CVE-2019-11340中的攻击相同;但是,此CVE更普遍地适用于Python。 |
软件:python-libs 2.7.5-86.el7 命中:python-libs version less than 0:2.7.5-88.el7 路径:/etc/python
软件:python-devel 2.7.5-86.el7 命中:python-devel version less than 0:2.7.5-88.el7 路径:/usr/bin/python-config
软件:python 2.7.5-86.el7 命中:python version less than 0:2.7.5-88.el7 路径:/usr/bin/pydoc
yum update python
reboot