AXSA:2020-4518:01

リリース日: 
2020/03/22 Sunday - 06:36
題名: 
python-pip-9.0.3-7.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- python-request パッケージには 同じホスト名の https-to-http リダイレクトを受け取る際に、
HTTP Authorization ヘッダを http URI に送信し、ネットワークをスニッフィングすることにより、
リモートの攻撃者が認証情報を見つけやすくする脆弱性があります。(CVE-2018-18074)

- python-urllib3 にはクロスオリジンのリダイレクトに従う際に、Authorization HTTP ヘッダを
削除せず、Authorization ヘッダの中の認証情報を意図しないホストに遺漏する、あるいは平文で
転送してしまう脆弱性があります。(CVE-2018-20060)

- python-urllib ライブラリには、攻撃者がリクエストのパラメータを制御できる場合、CRLF イン
ジェクションが可能な脆弱性があります。(CVE-2019-11236)

- python-urllib3 ライブラリは希望する CA の証明書のセットが CA 証明書の OS ストアと異なって
いる場合、誤って処理し、検証失敗すべき場面でも SSL 接続が続行してしまう脆弱性があります。
(CVE-2019-11324)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. python-pip-9.0.3-7.el7.src.rpm
    MD5: 62e7ef8776753252b9a3e748359038bd
    SHA-256: fc9b08b0bf69c224af1f1126b113cb503f94f51d03e660a60fdbcd583e29587c
    Size: 1.30 MB

Asianux Server 7 for x86_64
  1. python3-pip-9.0.3-7.el7.noarch.rpm
    MD5: 6ca409b5020deee2a7dcb3df7851b81a
    SHA-256: 6e2759bb5ec01ea78ffba6e24b7c4ec743595fadcb912c653c5a3e45b983059b
    Size: 1.76 MB
Copyright© 2007-2015 Asianux. All rights reserved.