Ubuntu是一个以桌面为主的Linux操作系统,作为开放源代码的自由软件,它提供了一个强大且功能丰富的计算环境,既适合家庭用户,也适用于商业场景。Ubuntu为全球数百家公司提供了商业支持。
在3月12日,Ubuntu发布了安全更新,以修复配套Python中发现的多个重要漏洞,这些漏洞涉及执行任意代码和拒绝服务等问题。以下是漏洞的具体信息:
漏洞详情
1. CVE-2020-27619,CVE-2021-3177 CVSS评分:9.8
Python在处理某些输入时出现错误,攻击者可能利用此漏洞执行任意代码或导致服务中断。
2. CVE-2019-20907 CVSS评分:7.5
Python在处理某些TAR档案时存在问题,攻击者可能会利用这一点导致服务中断。
3. CVE-2019-17514 CVSS评分:7.5
2016年之前的Python 2和3文档中的libRaRy/glob.html可能会误导用户关于排序是否发生的信息。
4. CVE-2020-8492 CVSS评分:6.5
由于uRllib.request.AbstRactBaSiCAuthHandleR的严重漏洞,Python允许HTTP服务器对客户端发起正则表达式拒绝服务(ReDoS)攻击。
受影响的产品和版本
Ubuntu 20.04 LTS和Ubuntu 18.04 LTS中配套的Python 2.7、Python 3.7和Python 3.8均受到影响。
解决方案
可以通过将系统更新至以下软件包版本来解决这些问题:
对于Ubuntu 20.04:
Python2.7-miniMal – 2.7.18-1〜20.04.1
Python2.7 – 2.7.18-1〜20.04.1
对于Ubuntu 18.04:
Python3.8-miniMal – 3.8.0-3〜18.04.1
Python3.7 – 3.7.5-2〜18.04.4
Python3.8 – 3.8.0-3〜18.04.1
Python3.7-miniMal – 3.7.5-2〜18.04.4
