python-virtualenv-15.1.0-4.el7

エラータID: AXSA:2020-4513:01

リリース日: 
2020/03/22 Sunday - 07:09
題名: 
python-virtualenv-15.1.0-4.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- python-request パッケージには 同じホスト名の https-to-http リダイレクトを受け取る際に、
HTTP Authorization ヘッダを http URI に送信し、ネットワークをスニッフィングすることにより、
リモートの攻撃者が認証情報を見つけやすくする脆弱性があります。(CVE-2018-18074)

- python-urllib3 にはクロスオリジンのリダイレクトに従う際に、Authorization HTTP ヘッダを
削除せず、Authorization ヘッダの中の認証情報を意図しないホストに遺漏する、あるいは平文で
転送してしまう脆弱性があります。(CVE-2018-20060)

- python-urllib ライブラリには、攻撃者がリクエストのパラメータを制御できる場合、CRLF イン
ジェクションが可能な脆弱性があります。(CVE-2019-11236)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2018-18074
The Requests package before 2.20.0 for Python sends an HTTP Authorization header to an http URI upon receiving a same-hostname https-to-http redirect, which makes it easier for remote attackers to discover credentials by sniffing the network.
CVE-2018-20060
urllib3 before version 1.23 does not remove the Authorization HTTP header when following a cross-origin redirect (i.e., a redirect that differs in host, port, or scheme). This can allow for credentials in the Authorization header to be exposed to unintended hosts or transmitted in cleartext.
CVE-2019-11236
In the urllib3 library through 1.24.1 for Python, CRLF injection is possible if the attacker controls the request parameter.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. python-virtualenv-15.1.0-4.el7.src.rpm
    MD5: 3eae23b6ce8e5799f1216bb1e77ffea0
    SHA-256: ddcf030123969d70889416f21623cbd034a8b7166dce25a1db7450bde02e47f4
    Size: 1.79 MB

Asianux Server 7 for x86_64
  1. python-virtualenv-15.1.0-4.el7.noarch.rpm
    MD5: 48f0ff4b1c65298cb8804ad84441f0cd
    SHA-256: b2345df7cf2c190fe5772c594b523f10f3becd8404425212de89b45b86a1d550
    Size: 1.71 MB