AXSA:2020-285:03

リリース日: 
2020/09/04 Friday - 09:21
題名: 
python-pip-9.0.3-16.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- python-request パッケージには 同じホスト名の https-to-http リダイレクトを受け取る際に、
HTTP Authorization ヘッダを http URI に送信し、ネットワークをスニッフィングすることにより、
リモートの攻撃者が認証情報を見つけやすくする脆弱性があります。(CVE-2018-18074)

- python-urllib3 にはクロスオリジンのリダイレクトに従う際に、Authorization HTTP ヘッダを
削除せず、Authorization ヘッダの中の認証情報を意図しないホストに遺漏する、あるいは平文で
転送してしまう脆弱性があります。(CVE-2018-20060)

- python-urllib ライブラリには、攻撃者がリクエストのパラメータを制御できる場合、CRLF イン
ジェクションが可能な脆弱性があります。(CVE-2019-11236)

- python-urllib3 ライブラリは希望する CA の証明書のセットが CA 証明書の OS ストアと異なって
いる場合、誤って処理し、検証失敗すべき場面でも SSL 接続が続行してしまう脆弱性があります。
(CVE-2019-11324)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. python-pip-9.0.3-16.el8.src.rpm
    MD5: 564194d90c74e04ca04d55afc16af073
    SHA-256: 4bc0c4e6b6c415cfc1fa93264f20800a1cc6785ad82a5e5a09b7379ac0abf405
    Size: 1.31 MB

Asianux Server 8 for x86_64
  1. platform-python-pip-9.0.3-16.el8.noarch.rpm
    MD5: 7c85aaacac585ff74028fbb6780a18d4
    SHA-256: aeba2ad038fa9bed3b5e33641c514d7fdbc5b1ed7a52ca34330b2cce88e82eda
    Size: 1.84 MB
  2. python3-pip-9.0.3-16.el8.noarch.rpm
    MD5: dae008e04864681b747bc07fbf233bfa
    SHA-256: a86d66e85ca5db5d5d827df79ac64120df47150df48ab903559f1faf53bb445b
    Size: 18.39 kB
  3. python3-pip-wheel-9.0.3-16.el8.noarch.rpm
    MD5: 0f3a90f8dffb291e08d4fb9f1754ee42
    SHA-256: 38132fe5f79c339e8c58f2532e2e6f30aadc50b7a3aa1143c182a011943af74f
    Size: 1.18 MB
  4. platform-python-pip-9.0.3-16.el8.noarch.rpm
    MD5: 7c85aaacac585ff74028fbb6780a18d4
    SHA-256: aeba2ad038fa9bed3b5e33641c514d7fdbc5b1ed7a52ca34330b2cce88e82eda
    Size: 1.84 MB
  5. python3-pip-9.0.3-16.el8.noarch.rpm
    MD5: dae008e04864681b747bc07fbf233bfa
    SHA-256: a86d66e85ca5db5d5d827df79ac64120df47150df48ab903559f1faf53bb445b
    Size: 18.39 kB
  6. python3-pip-wheel-9.0.3-16.el8.noarch.rpm
    MD5: 0f3a90f8dffb291e08d4fb9f1754ee42
    SHA-256: 38132fe5f79c339e8c58f2532e2e6f30aadc50b7a3aa1143c182a011943af74f
    Size: 1.18 MB
Copyright© 2007-2015 Asianux. All rights reserved.