RHSA-2022:5235: python security update-迪思分享

本站所有内容来自互联网收集，仅供学习和交流，请勿用于商业用途。如有侵权、不妥之处，请第一时间联系我们删除！Q群：

免费资源网 – https://freexyz.cn/

最近收到了服务器有漏洞的通知，提示：RHSA-2022:5235: python security update，该漏洞源于用户输入构造命令、数据结构或记录的操作过程中，网络系统或产品缺乏对用户输入数据的正确验证，接下来就为大家介绍一下python security update漏洞的修复方法，有需要的小伙伴可以参考一下：

RHSA-2022:5235: python security update插图

1、漏洞提示：

RHSA-2022:5235: python security update

2、漏洞描述：

漏洞编号漏洞公告漏洞描述 CVE-2020-26116 Python注入漏洞

Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。 Python http.client存在注入漏洞。该漏洞源于用户输入构造命令、数据结构或记录的操作过程中，网络系统或产品缺乏对用户输入数据的正确验证，未过滤或未正确过滤掉其中的特殊元素，导致系统或产品产生解析或解释方式错误。以下产品及版本受到影响：Python 3.x系列3.5.10之前版本, 3.6.x系列3.6.12之前版本, 3.7.x系列3.7.9之前版本, 3.8.x系列3.8.5之前版本。

CVE-2020-26137 urllib3注入漏洞

urllib3是一款Python HTTP库。该产品具有线程安全连接池、文件发布支持等。 urllib3 1.25.9之前版本存在注入漏洞。该漏洞源于可以在putrequest()的第一个参数中插入CR和LF控制字符。

CVE-2021-3177 Python 缓冲区错误漏洞

Python 3.x through 3.9.1 has a buffer overflow in PyCArg_repr in _ctypes/callproc.c, which may lead to remote code execution in certAIn Python applications that accept floating-point numbers as untrusted input, as demonstrated by a 1e300 argument to c_double.from_param. This occurs because sprintf is used unsafely.

3、影响说明：

软件：python 2.7.5-90.el7 命中：python version less than 0:2.7.5-92.el7_9 路径：/usr/bin/pydoc 软件：python-devel 2.7.5-90.el7 命中：python-devel version less than 0:2.7.5-92.el7_9 路径：/usr/bin/python-config 软件：python-libs 2.7.5-90.el7 命中：python-libs version less than 0:2.7.5-92.el7_9 路径：/etc/python

4、解决方法：

yum update python yum update python-devel yum update python-libs

RHSA-2022:5235: python security update插图1

5、修复建议：

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://python-security.readthedocs.io/vuln/http-header-injection-method.html

免费资源网 – https://freexyz.cn/

迪思分享版权声明 ① 本网站名称：❤迪思分享❤ 本站永久网址：▶https://www.dsary.com◀
② 如果您喜欢本站，点击这儿

开通VIP，同时按Ctrl+D保存网页
③ 在浏览网站中可能会帮助到您：

④ 本站接受投稿，同时也开启了创作分成，投稿用户只需自行设置收费即可！点击查看如果需要投稿，请点击投稿发布文章！
⑤ 本站一律禁止以任何方式发布或转载任何违法的相关信息，如果发现请点击上方联系方式进行举报！情况如实，可获得本站一个月的VIP
⑥ 本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。如遇压缩包需解压密码，一般为：www.dsary.com 丨 www.syymw.com请知悉！
⑦ 修改版本安卓及电脑软件，加群提示为修改者自留，非本站信息，注意鉴别！资源来源于网络，仅供大家学习与参考，请于下载后24小时内删除；
⑧ 若作商业用途，请联系原作者授权，若本站侵犯了您的权益请联系站长进行删除处理；可联系上方QQ或进入QQ群进行反馈！
⑨互联网的本质是自由与分享，我们真诚的希望，每一份有价值的正能量能够在互联网中自由传播。

THE END

编程教程