摘要:
python3 security update
安全等级: Medium
公告ID: KylinSec-SA-2024-4226
发布日期: 2024年11月29日
关联CVE: CVE-2024-9287
Python结合了非凡的能力与非常清晰的语法。它拥有模块、类、异常、非常高级的动态数据类型和动态类型。它还提供了许多系统调用和库的接口,以及各种窗口系统的接口。新的内置模块可以很容易地用C或C++(或其他语言,取决于所选择的实现)编写。Python也可以作为需要易于使用的脚本或自动化接口的其他语言编写的应用程序的扩展语言。
安全修复:
在CPython的`venv`模块和命令行界面中发现了一个漏洞,创建虚拟环境时提供的路径名称没有正确引用,允许创建者在虚拟环境的“激活”脚本中注入命令(例如“source venv/bin/activate”)。这意味着,由攻击者控制的虚拟环境在被激活时能够运行命令。不是由攻击者创建的虚拟环境,或者在使用前没有被激活的虚拟环境(例如“./venv/bin/python”)不受影响。(CVE-2024-9287)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-9287 | KY3.5.2 | python3 | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| python3-help | noarch | 3.9.9-35.ky3_5 |
| python3 | x86_64 | 3.9.9-35.ky3_5 |
| python3-devel | x86_64 | 3.9.9-35.ky3_5 |
| python3-unversioned-command | x86_64 | 3.9.9-35.ky3_5 |
| python3 | aarch64 | 3.9.9-35.ky3_5 |
| python3-devel | aarch64 | 3.9.9-35.ky3_5 |
| python3-unversioned-command | aarch64 | 3.9.9-35.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
