RHSA-2020:2068: python-pip 安全更新

最近收到了服务器有漏洞的通知，提示：RHSA-2020:2068:python-pip安全更新，接下来就为大家介绍一下python-pip安全更新的解决方法，有需要的小伙伴可以参考一下：

1、漏洞提示：

RHSA-2020:2068: python-pip 安全更新

2、漏洞描述：

漏洞编号 漏洞公告 漏洞描述 CVE-2018-18074

从HTTPS重定向到HTTP不会删除授权headers导致敏感信息泄漏

在2018-09-14之前通过2.19.1的Requests程序包在收到相同主机名https-to-http重定向后，会向HTTP URI发送HTTP Authorization标头，这使远程攻击者更容易通过嗅探来发现凭据网络。

CVE-2018-20060

跨主机重定向不会删除Authorization header允许凭据暴露

1.23版本之前的urllib 3在遵循cross-origin redirect (即主机、端口或方案不同的重定向)时不会删除Authorization HTTP header。这允许授权头中的凭据暴露于意外主机或以明文传输。

CVE-2019-11236

CRLF注入由于没有编码 rn序列导致可能对内部服务的攻击。

在 Python的urllib3 library through 1.24.1中，如果攻击者控制请求参数，则可以进行CRLF注入。

CVE-2019-11324

应该抛出错误时认证错误处理

Python的 1.24.2之前的urllib3库错误地处理了某些情况，其中所需的CA证书集与CA证书的OS存储区不同，这导致SSL连接在验证失败是正确结果的情况下成功。这与使用ssl_context、ca_certs或ca_certs_dir参数有关。

3、影响说明：

软件：python 2.7.5-88.el7 命中：python version less than 0:2.7.5-90.el7 路径：/usr/bin/pydoc 软件：python-devel 2.7.5-88.el7 命中：python-devel version less than 0:2.7.5-90.el7 路径：/usr/bin/python-config  软件：python-libs 2.7.5-88.el7 命中：python-libs version less than 0:2.7.5-90.el7 路径：/etc/python

4、解决方法：

yum update python yum update python-devel yum update python-libs

5、重启验证：

reboot