摘要:
python-zipp security update
安全等级: Medium
公告ID: KylinSec-SA-2024-3229
发布日期: 2024年7月26日
关联CVE: CVE-2024-5569
与pathlib兼容的Zipfile对象包装器。Path对象的后端口。
安全修复:
jaraco/zipp库中存在拒绝服务(DoS)漏洞,影响3.19.1之前的所有版本。当处理一个特制的zip文件导致无限循环时,会触发该漏洞。此问题也会影响CPython的zipfile模块,因为第三方zipp库中的功能后来会合并到CPython中,受影响的代码在两个项目中是相同的。无限循环可以通过使用影响zipp和zipfile中“Path”模块的函数来启动,例如“joinpath”、重载除法运算符和“iterdir”。虽然无限循环不是资源穷举的,但它会阻止应用程序响应。该漏洞在jaraco/zipp的3.19.1版本中得到了解决。(CVE-2024-5569)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-5569 | KY3.5.2 | python-zipp | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python-zipp-help | noarch | 3.7.0-3.ky3_5 |
| python3-zipp | noarch | 3.7.0-3.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
