Python小版本升级、查看漏洞补丁小记

想长胖的阿鹏

2022 年 10 月 26 日

360次浏览

暂无评论

1478字数

Linux Python

来自一位同事的整理，这里记录一下。

### 查看当前安装的存在漏洞的版本

```
[root@localhost ~]# rpm -qa | grep python-2.7
python-2.7.5-76.el7.x86_64
```

### Centos-Updates源中找到升级包源码包

```
[root@localhost ~]# mkdir temp
[root@localhost ~]# cd temp/
[root@localhost temp]# wget https://vault.centos.org/7.6.1810/updates/Source/SPackages/python-2.7.5-77.el7_6.src.rpm
```

### 提取源文件，查看打补丁情况

```
[root@localhost temp]# rpm2cpio python-2.7.5-77.el7_6.src.rpm | cpio -div
```

#### 漏洞一：Python‘socket.recvfrom_into’函数缓冲区溢出漏洞，CVE-2014-1912，对应补丁文件https://bugs.python.org/file33453/recvfrom_into_buffer_overflow_2.7.patch

```
[root@localhost temp]# ll | grep overflow
-rw-rw-r--. 1 mockbuild mockbuild     2507 Apr  9  2019 00157-uid-gid-overflows.patch
-rw-rw-r--. 1 mockbuild mockbuild     1471 Apr  9  2019 00193-buffer-overflow.patch
-rw-rw-r--. 1 mockbuild mockbuild     1436 Apr  9  2019 00212-pep466-pyunicode_fromformat-raise-overflow.patch
-rw-rw-r--. 1 mockbuild mockbuild     1205 Apr  9  2019 00241-CVE-2016-5636-buffer-overflow-in-zipimport-module-fix.patch
[root@localhost temp]# cat 00193-buffer-overflow.patch
```

包含上述补丁文件中的代码，说明是修复过的

#### 漏洞二：Python CGIHTTPServer ‘is_cgi’ 安全绕过漏洞，CVE-2014-4650

```
[root@localhost temp]# ll | grep CVE-2014-4650
-rw-rw-r--. 1 mockbuild mockbuild     1575 Apr  9  2019 00201-CVE-2014-4650.patch
```

已有对应补丁

所以直接下载然后安装对应python包升级包
https://vault.centos.org/7.6.1810/updates/x86_64/Packages/python-2.7.5-77.el7_6.x86_64.rpm

最后修改：2022 年 10 月 26 日 10 : 29 AM

要多恰饭才能长胖

Python小版本升级、查看漏洞补丁小记

发表评论取消回复

CentOS通过yum升级Openssh8.x

欢迎使用 Typecho

甲骨文云 Oracle Cloud 免费 ARM 实例硬盘扩容

OpenVZ架构一键开启BBR加速的方法

libvirt 启用TCP远程连接，windows平台java调用示例

My服务器、域名

配置docker通过代理服务器拉取镜像

cephadm拉取docker.io镜像的离线解决方案（2021-06-16）

OpenVZ架构一键开启BBR加速的方法

Aria2 fallocate failed cause not supported解决办法

Python小版本升级、查看漏洞补丁小记

发表评论 取消回复

Python小版本升级、查看漏洞补丁小记

发表评论取消回复