摘要:
python-setuptools security update
安全等级: High
公告ID: KylinSec-SA-2024-3671
发布日期: 2024年8月2日
关联CVE: CVE-2024-6345
Setuptools 是对 Python distutils 的一组增强,它允许您更轻松地构建和分发 Python 包,特别是那些依赖于其他包的包。
安全修复:
在 pypa/setuptools 的 package_index 模块中,直到 69.1.1 版本都存在一个漏洞,该漏洞允许通过其下载功能进行远程代码执行。这些函数用于从用户提供的 URL 或从包索引服务器检索的 URL 下载包,它们容易受到代码注入的攻击。如果这些函数暴露于用户控制的输入(如包 URL),则它们可以在系统上执行任意命令。此问题已在 70.0 版本中修复。(CVE-2024-6345)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-6345 | KY3.4-5A | python-setuptools | Fixed |
| CVE-2024-6345 | KY3.5.2 | python-setuptools | Fixed |
| CVE-2024-6345 | V6 | python-setuptools | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python-setuptools | noarch | 44.1.1-3.kb1.ky3_4 |
| python3-setuptools | noarch | 44.1.1-3.kb1.ky3_4 |
| python2-setuptools | noarch | 44.1.1-3.kb1.ky3_4 |
| python-setuptools-help | noarch | 44.1.1-3.kb1.ky3_4 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python3-setuptools | noarch | 68.0.0-2.ks6 |
| python-setuptools | noarch | 68.0.0-2.ks6 |
| python-setuptools-help | noarch | 68.0.0-2.ks6 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python3-setuptools | noarch | 59.4.0-6.ky3_5 |
| python-setuptools | noarch | 59.4.0-6.ky3_5 |
| python-setuptools-help | noarch | 59.4.0-6.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
