对 Ubuntu 上的 CVE 描述有一些担忧?

对 Ubuntu 上的 CVE 描述有一些担忧?

对于提到的一些问题USN-5342-1:Python 漏洞

David Schwörer 发现 Python 错误地处理了某些输入。攻击者可能会利用此问题泄露敏感信息。此问题仅影响 Ubuntu 18.04 LTS。(CVE-2021-3426)

我们发现 Python 错误地处理了某些 FTP 请求。攻击者可能会利用此问题泄露敏感信息。此问题仅影响 Ubuntu 14.04 ESM、Ubuntu 16.04 ESM 和 Ubuntu 18.04 LTS。(CVE-2021-4189)

发现 Python 错误地处理了某些输入。攻击者可能利用此问题执行任意代码。(CVE-2022-0391)

关注:据我了解,该问题只会影响详细信息中提到的版本,对吗?

对于USN-5342-2:Python 漏洞,细节部分提到:

USN-5342-1 修复了 Python 中的几个漏洞。此更新为 Ubuntu 14.04 ESM、Ubuntu 20.04 ESM 和 Ubuntu 22.04 ESM 提供了相应的更新。

这是否意味着该问题仅发生在 USN-5342-1 和 USN-5342-2 中提到的版本中?因为我找不到有关 Ubuntu 20.04 LTS 版本的任何信息。

答案1

对于 USN-5342-1,只有 CVE-2022-0391 与 Ubuntu 20.04 相关,这在描述中很清楚,因为它引用了以下软件包:

Ubuntu 20.04
python3.8-minimal - 3.8.10-0ubuntu1~20.04.4
python3.8 - 3.8.10-0ubuntu1~20.04.4

对于 USN-5342-2,这仅与 Python 2.7 有关,从描述中也可以清楚地看出这一点。由于 Python 2.7 不是默认 Ubuntu 20.04 安装的一部分,因此它位于 Universe 存储库中,这再次意味着任何其他安全修复(社区完成的修复除外)仅可通过 Ubuntu Pro (ESM) 订阅获得。

在 Ubuntu 20.04 上,这意味着如果你安装了 Python 2.7,并且没有Ubuntu Pro 订阅,那么这些漏洞就会存在,直到社区将这些安全修复程序反向移植到 Universe 存储库。

看这里

相关内容