python-urllib3-1.10.2-7.el7
エラータID: AXSA:2019-4182:01
リリース日:
2019/08/21 Wednesday - 03:32
題名:
python-urllib3-1.10.2-7.el7
影響のあるチャネル:
Asianux Server 7 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- python-urllib3には、クロスオリジンリダイレクトの際に HTTP認証ヘッダを
取り除いていないため、認証ヘッダ内のクレデンシャル情報が意図しないホストに
漏出したり平文で伝わってしまう脆弱性があります。(CVE-2018-20060)
- python-urllib3には、攻撃者がリクエストパラメーターを
操作できるとき、CRLF の挿入が可能な脆弱性があります。(CVE-2019-11236)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2018-20060
urllib3 before version 1.23 does not remove the Authorization HTTP header when following a cross-origin redirect (i.e., a redirect that differs in host, port, or scheme). This can allow for credentials in the Authorization header to be exposed to unintended hosts or transmitted in cleartext.
urllib3 before version 1.23 does not remove the Authorization HTTP header when following a cross-origin redirect (i.e., a redirect that differs in host, port, or scheme). This can allow for credentials in the Authorization header to be exposed to unintended hosts or transmitted in cleartext.
CVE-2019-11236
In the urllib3 library through 1.24.1 for Python, CRLF injection is possible if the attacker controls the request parameter.
In the urllib3 library through 1.24.1 for Python, CRLF injection is possible if the attacker controls the request parameter.
追加情報:
N/A
ダウンロード:
SRPMS
- python-urllib3-1.10.2-7.el7.src.rpm
MD5: 1b1c3cb66defcf517f71f655a5ad0e80
SHA-256: 5291b614be579949d2f40a688f2c6a16816af59e43c337ee1556a5db36d652a3
Size: 146.45 kB
Asianux Server 7 for x86_64
- python-urllib3-1.10.2-7.el7.noarch.rpm
MD5: 5f30f2f7fabea0e2a121876dc5252f46
SHA-256: 107f01204cad6ea37bec29dd257243fd732e6aef1df20e4f14548fd09ed124c7
Size: 101.84 kB