摘要:
python-pip security update
安全等级: High
公告ID: KylinSec-SA-2024-3132
发布日期: 2024年7月19日
pip是Python的包安装程序。您可以使用pip从Python包索引和其他索引安装包。%global bashcompdir %(b=$(pkg-config --variable=completionsdir bash-completion 2>/dev/null); echo ${b:-/bash_completion.d}) Name: python-pip Version: 20.2.2 Release: 4 Summary: A tool for installing and managing Python packages License: MIT and Python and ASL 2.0 and BSD and ISC and LGPLv2 and MPLv2.0 and (ASL 2.0 or BSD) URL: http://www.pip-installer.org Source0: https://files.pythonhosted.org/packages/source/p/pip/pip-.tar.gz BuildArch: noarch Patch1: allow-stripping-given-prefix-from-wheel-RECORD-files. Patch2: emit-a-warning-when-running-with-root-privileges.patch Patch3: remove-existing-dist-only-if-path-conflicts.patch Patch6000: dummy-certifi.patch Patch6001: backport-CVE-2021-3572.patch
安全修复:
urllib3是一个用户友好的Python HTTP客户端库。urllib3不会对“Cookie”HTTP标头进行特殊处理,也不会提供任何通过HTTP管理Cookie的帮助程序,这是用户的责任。但是,如果用户没有明确禁用重定向,则可能会指定一个“Cookie”标头,并在不知不觉中通过HTTP重定向将信息泄露到其他来源。urllib3版本1.26.17或2.0.5已修补此问题。(CVE-2023-43804)
urllib3是一个用户友好的Python HTTP客户端库。以前,当请求的方法从可以接受请求体(如“POST”)更改为HTTP RFC要求的“GET”后,使用状态301、302或303的HTTP重定向响应时,urllib3不会删除HTTP请求体。虽然重定向部分没有指定此行为,但可以通过将不同部分的信息拼凑在一起来推断,我们在curl和web浏览器等其他主要HTTP客户端实现中也观察到了这种行为。因为该漏洞需要以前受信任的服务受到损害,才能对机密性产生影响,我们认为该漏洞的利用率很低。此外,许多用户没有将敏感数据放入HTTP请求体中,如果是这样的话,那么这个漏洞就不会被利用。以下两个条件都必须满足才能受此漏洞影响:1。使用urllib3并在HTTP请求体中提交敏感信息(如表单数据或JSON)和2。源服务受到损害,并开始使用301、302或303重定向到恶意对等方,或者重定向到的服务受到损害。此问题已在版本1.26.18和2.0.7中得到解决,建议用户更新以解决此问题。无法更新的用户应禁用不希望以“redirects=False”重定向响应的服务的重定向,并禁用以“redidirects=False”重定向的自动重定向,并通过剥离HTTP请求体手动处理301、302和303重定向。(CVE-2023-45803)
urllib3是一个用户友好的Python HTTP客户端库。当将urllib3的代理支持与“ProxyManager”一起使用时,如预期的那样,“proxy Authorization”标头仅发送到配置的代理。但是,在不使用urllib3的代理支持发送HTTP请求时,可能会意外配置“代理授权”标头,即使它不会产生任何影响,因为请求没有使用转发代理或隧道代理。在这些情况下,urllib3不会将“代理授权”HTTP标头视为携带身份验证材料的标头,因此不会在跨源重定向时剥离标头。由于这是一种极不可能发生的情况,我们认为几乎所有用户都认为此漏洞的严重程度较低。出于谨慎,urllib3将在跨源重定向期间自动删除“代理授权”标头,以避免用户意外这样做的可能性很小。用户应该使用urllib3的代理支持或禁用自动重定向,以实现对“代理授权”标头的安全处理,但我们仍然决定默认删除标头,以进一步保护未使用正确方法的用户。我们认为,受此咨询影响的使用次数很少。它需要满足以下所有条件才能被利用:1。在不使用urllib3内置代理支持的情况下设置“代理授权”标头。2.不禁用HTTP重定向。3.要么不使用HTTPS源服务器,要么让代理或目标源重定向到恶意源。建议用户更新到版本1.26.19或版本2.2.2。无法升级的用户可以在urllib3的“ProxyManager”中使用“Proxy Authorization”标头,在发送请求时使用“redirects=False”禁用HTTP重定向,或者不使用“Proxy Authorization”标头作为缓解措施。(CVE-2024-37891)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-37891 | KY3.5.2 | python-pip | Fixed |
| CVE-2023-43804 | KY3.5.2 | python-pip | Fixed |
| CVE-2023-45803 | KY3.5.2 | python-pip | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python-pip-help | noarch | 21.3.1-6.ky3_5 |
| python-pip-wheel | noarch | 21.3.1-6.ky3_5 |
| python3-pip | noarch | 21.3.1-6.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
