python-requests-2.6.0-5.el7

エラータID: AXSA:2019-3973:01

リリース日: 
2019/08/07 Wednesday - 08:09
題名: 
python-requests-2.6.0-5.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Low
Description: 

以下項目について対処しました。

[Security Fix]
- python-requests パッケージには、同じホスト名の https から http への
リダイレクトを受け取る際に、HTTP Authorization ヘッダを HTTP URI
に送ってしまい、ネットワークをスニッフィングすることで、リモートの攻撃
者がリモートの攻撃者がクレデンシャルを発見しやすくする脆弱性があります。
(CVE-2018-18074)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2018-18074
The Requests package before 2.20.0 for Python sends an HTTP Authorization header to an http URI upon receiving a same-hostname https-to-http redirect, which makes it easier for remote attackers to discover credentials by sniffing the network.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. python-requests-2.6.0-5.el7.src.rpm
    MD5: 0df018c4df642fb9ccf8409ed71e1759
    SHA-256: d5d162c7827234eabbddef115b45e55eadbc59e9c3010783a9604c87600cd5e4
    Size: 442.13 kB

Asianux Server 7 for x86_64
  1. python-requests-2.6.0-5.el7.noarch.rpm
    MD5: 690016d4e7d4521583a429b11d210cd9
    SHA-256: 0a0d30d6a0171af191d67a95dc393dd70675637b16392ebb7b0f3d13bbcca386
    Size: 93.20 kB