我有许多 Oracle Linux 8.8 机器,Crowdstrike 标记了所有与安装 python 3.6 的 python 包相关的漏洞。Oracle 表示系统需要 python 3.6,但我找不到解决 Crowdstrike 发现的问题的更新。例如,babel 2.5.1-7.el8 被标记为易受攻击,而 dnf 仅从 ol8_appstream repo 中找到要安装的 python3-babel 2.5.1-7.el8。Oracle 表示他们会保持 3.6 的更新,所以肯定有更新来解决多年的 cve?我尝试安装 python 3.9 和 3.11,但这样会保留易受攻击的包,就 Crowdstrike 而言,这并没有真正完成任何事情。我该如何更新这些 python 包?
答案1
我如何更新这些 python 包?
这也许不是一个值得关注的事情。
对于初学者:一些/许多漏洞扫描程序如何确定漏洞暴露存在问题仅通过查看版本号一个软件会用这种方法在面向反向移植安全更新的发行版时存在缺陷(更多解释如下这里例如这里以及RedHat.com)。
第二:大多数供应商都维护着一个可以查找 CVE 的系统,并且他们可能已经确定,尽管他们的版本可能存在漏洞,但由于某些原因(例如,供应商已经在他们为工具 X 版本 Y 提供的 RPM 包中用更安全的默认设置覆盖了不安全的默认值(由开发人员在源代码树中设置)),但他们的打包版本实际上并不存在漏洞/可被利用。
第三:您的系统实际上可能存在漏洞,而企业 Linux 供应商不会修复。
当然,您可以尝试获得您所支付的服务,并向您的客户经理进行升级。
并且/或者也适用您的正常风险管理程序和选项:
- 评估
- 采取缓解措施
- 接受风险