python-pip-9.0.3-18.el8

エラータID: AXSA:2020-1044:05

リリース日: 
2020/12/23 Wednesday - 06:50
題名: 
python-pip-9.0.3-18.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- python の pip には、Content-Disposition ヘッダーではファイル名に ../ を
使用することが出来るため、 /root/.ssh/authorized_keys ファイルの上書きで
実証されるように、install コマンドでURLが与えられるときに
ディレクトリートラバーサルが起こることを許可する脆弱性があります。(CVE-2019-20916)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2019-20916
The pip package before 19.2 for Python allows Directory Traversal when a URL is given in an install command, because a Content-Disposition header can have ../ in a filename, as demonstrated by overwriting the /root/.ssh/authorized_keys file. This occurs in _download_http_url in _internal/download.py.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. python-pip-9.0.3-18.el8.src.rpm
    MD5: e2e8ffa7a8149f681773a67cb5596c49
    SHA-256: 3f13a02507efdb508a7f888f00a1d926b93f76ac6d9a983f5aaf676583e8a635
    Size: 1.31 MB

Asianux Server 8 for x86_64
  1. platform-python-pip-9.0.3-18.el8.noarch.rpm
    MD5: 89e91fd92b52188d247066124271d5d8
    SHA-256: 2b842059f54941b831a9074ea5476e15451a716f91c095c8484e83810693c1c3
    Size: 1.70 MB
  2. python3-pip-9.0.3-18.el8.noarch.rpm
    MD5: 26b36c1f6df0f57f18b287f97eafd2fc
    SHA-256: 8e68ea785149a2a7ff85bde978e94f9933977d2eecd3bbc1332916cd81dfdd10
    Size: 18.69 kB
  3. python3-pip-wheel-9.0.3-18.el8.noarch.rpm
    MD5: b7c6904a9881792ace584c15446408cd
    SHA-256: cecc9ad9a688478fc1f9bab6d5f078fc46e16622bf08d478c105f583869f666d
    Size: 1.04 MB