Ubuntu 配套 Python 發現執行任意程式碼漏洞,需要儘快升級
Ubuntu 是一個以桌面應用為主的 Linux 作業系統。它是一個開放原始碼的自由軟體,提供了一個健壯、功能豐富的計算環境,既適合家庭使用又適用於商業環境。Ubuntu 為全球數百個公司提供商業支援。
3 月 12 日,Ubuntu 釋出了安全更新 , 修復了配套 Python 發現的執行任意程式碼 , 拒絕服務等重要漏洞。以下是漏洞詳情:
漏洞詳情
來源 : https://ubuntu.com/security/notices/USN-4754-3
1.CVE-2020-27619,CVE-2021-3177 CVSS 評分:9.8
Python 錯誤地處理了某些輸入。攻擊者可能會利用此問題執行任意程式碼或導致拒絕服務。
2.CVE-2019-20907 CVSS 評分:7.5
Python 錯誤地處理了某些 TAR 檔案。攻擊者可能會利用此問題導致拒絕服務。
3.CVE-2019-17514 CVSS 評分:7.5
2016 年之前的 Python 2 和 3 文件中的 library / glob.html 可能會誤導有關是否發生排序的資訊。
4.CVE-2020-8492 CVSS 評分:6.5
由於 urllib.request.AbstractBasicAuthHandler 災難性的回溯,Python 允許 HTTP 伺服器對客戶端進行正則表示式拒絕服務(ReDoS)攻擊
受影響產品和版本
配套 Python 2.7,Python 3.7,Python 3.8 的 Ubuntu 20.04 LTS 與 Ubuntu 18.04 LTS 都會受到影響 .
解決方案
可以通過將系統更新為以下軟體包版本來解決此問題:
Ubuntu 20.04:
python2.7-minimal - 2.7.18-1〜20.04.1
python2.7 - 2.7.18-1〜20.04.1
Ubuntu 18.04:
python3.8-minimal - 3.8.0-3〜18.04.1
python3.7 - 3.7.5-2〜18.04.4
python3.8 - 3.8.0-3〜18.04.1
python3.7-minimal - 3.7.5-2〜18.04.4
檢視更多漏洞資訊 以及升級請訪問官網: