Hướng dẫn eol obsolete software python 2.7 x detected - phát hiện phần mềm lỗi thời eol python 2.7 x

Phần mềm EOL/lỗi thời: Python 2.7.x được phát hiện

calendar_today

Cập nhật trên:

Các sản phẩm

CA Trình quản lý truy cập đặc quyền (PAM)

Issue/Introduction

3.3.2.99

Các lỗ hổng được xác định trong Máy chủ và nhóm Proxy PAM đang hỏi liệu họ có thể tiến hành loại bỏ phần mềm bên dưới không, bạn có thể xác nhận xem những thứ này có thể bị xóa khỏi máy chủ PAM Proxy không.

Qids	Tiêu đề	Nhận xét ODR
105878	Phần mềm EOL/lỗi thời: Python 2.7.x được phát hiện	& nbsp; loại bỏ python2.7.1
& nbsp;	& nbsp;	& nbsp;
& nbsp;	& nbsp;	& nbsp;
& nbsp;	& nbsp;	& nbsp;
& nbsp;	& nbsp;	& nbsp;
& nbsp;	& nbsp;	& nbsp;
& nbsp;	& nbsp;	& nbsp;
& nbsp;	& nbsp;	& nbsp;
& nbsp;	& nbsp;	& nbsp;
& nbsp;	& nbsp;	& nbsp;

Môi trường

Phát hành: 3.3

Thành phần :

Nghị quyết

Thành phần của bên thứ 3. & NBSP; QID cho phiên bản cũ của Python không liên quan đến Pam. & NBSP; Có thể được gỡ bỏ. & Nbsp;

Nhận xét

thumb_upYes Yes

thumb_downNo No

CVE-2021-43818 cao

LXML là một thư viện để xử lý XML và HTML trong ngôn ngữ Python. Trước phiên bản 4.6.5, bộ làm sạch HTML trong lxml.html cho phép một số nội dung tập lệnh được tạo ra, cũng như nội dung tập lệnh trong các tệp SVG được nhúng bằng URI dữ liệu. Người dùng sử dụng HTML Cleaner trong bối cảnh có liên quan bảo mật sẽ nâng cấp lên LXML 4.6.5 để nhận bản vá. Không có cách giải quyết nào được biết đến.

Sửa lỗi đang chờ xử lý 2021/12/13 CVE-2021-3711

OpenSSL - Để giải mã dữ liệu được mã hóa SM2, một ứng dụng dự kiến ​​sẽ gọi hàm API EVP_PKEY_DECRYPT (). Thông thường, một ứng dụng sẽ gọi chức năng này hai lần. Lần đầu tiên, khi nhập cảnh, tham số ra khỏi ra khỏi phạm vi có thể là NULL và, khi thoát, tham số Outlen Outlen được điền với kích thước bộ đệm cần thiết để giữ bản rõ được giải mã. Sau đó, ứng dụng có thể phân bổ một bộ đệm có kích thước đủ và gọi lại EVP_PKEY_DECRYPT (), nhưng lần này chuyển giá trị không null cho tham số ra khỏi ra. Một lỗi trong việc thực hiện mã giải mã SM2 có nghĩa là việc tính toán kích thước bộ đệm cần thiết để giữ bản rõ được trả về bởi cuộc gọi đầu tiên đến evp_pkey_decrypt () có thể nhỏ hơn kích thước thực tế theo yêu cầu của cuộc gọi thứ hai.

Sửa lỗi 2021/08/24 CVE-2021-25289

Một vấn đề đã được phát hiện trong gối trước 8.1.1. TiffDecode có một bộ đệm dựa trên đống khi giải mã các tệp YCBCR được chế tạo do xung đột giải thích nhất định với LIBTIFIF trong chế độ RGBA. Lưu ý: Vấn đề này tồn tại do sửa chữa không đầy đủ cho CVE-2020-35654.

Sửa lỗi 2021/03/19 CVE-2021-3712 cao

Các chuỗi OpenSSL - ASN.1 được biểu diễn bên trong trong OpenSSL dưới dạng cấu trúc ASN1_String có chứa bộ đệm giữ dữ liệu chuỗi và một trường giữ độ dài bộ đệm. Điều này tương phản với các chuỗi C bình thường được lặp lại như một bộ đệm cho dữ liệu chuỗi được kết thúc bằng byte nul (0). Mặc dù không phải là một yêu cầu nghiêm ngặt, các chuỗi ASN.1 được phân tích cú pháp bằng các hàm D2I D2I của OpenSSL (và các hàm phân tích cú pháp tương tự khác) cũng như bất kỳ chuỗi nào có giá trị được đặt với hàm ASN1_String_set () trong cấu trúc ASN1_String. Tuy nhiên, các ứng dụng có thể xây dựng trực tiếp các cấu trúc ASN1_String hợp lệ mà không kết thúc mảng byte bằng cách đặt trực tiếp vào dữ liệu trên mạng

Sửa lỗi 2021/08/24 CVE-2021-33203 cao

Django trước 2.2.24, 3.x trước 3.1.12 và 3.2.x trước 3.2.4 có một thư mục tiềm năng truyền qua django.contrib.admindocs. Nhân viên có thể sử dụng chế độ xem TemplatedetailView để kiểm tra sự tồn tại của các tệp tùy ý. Ngoài ra, nếu (và chỉ khi) các mẫu ADMINDOC mặc định đã được các nhà phát triển ứng dụng tùy chỉnh để hiển thị nội dung tệp, thì không chỉ sự tồn tại mà cả nội dung tệp sẽ được hiển thị. Nói cách khác, có thư mục truyền tải bên ngoài các thư mục gốc mẫu.

Sửa lỗi 2021/06/08 CVE-2021-31542 cao

Trong Django 2.2 trước 2.2.21, 3.1 trước 3.1.9 và 3.2 trước 3.2.1, MultipArtParser, UploadEdFile và FieldFile cho phép thư mục qua các tệp được tải lên với tên tệp được chế tạo phù hợp.

Sửa lỗi 2021/05/05 CVE-2021-20270 cao

Một vòng lặp vô hạn trong smllexer trong các phiên bản pygments 1.5 đến 2.7.3 có thể dẫn đến việc từ chối dịch vụ khi thực hiện làm nổi bật cú pháp của tệp nguồn ML (SML) tiêu chuẩn, như được chứng minh bằng đầu vào chỉ chứa từ khóa ngoại lệ.

Khắc phục tiến trình 2021/03/23 CVE-2021-3449 Môi trường

Máy chủ OpenSSL TLS có thể bị sập nếu được gửi một tin nhắn ClientHello được tạo ra một cách độc hại từ một máy khách. Nếu một máy khách tái khởi động TLSV1.2 bỏ qua phần mở rộng Signature_Algorithms (nơi nó có mặt trong ClientHello ban đầu), nhưng bao gồm một phần mở rộng Signature_AlgorithMS_CERT thì một phần phụ của con trỏ null sẽ dẫn đến sự cố và từ chối tấn công dịch vụ. Một máy chủ chỉ dễ bị tổn thương nếu nó có kích hoạt TLSV1.2 và tái tạo (là cấu hình mặc định). Các khách hàng của OpenSSL TLS không bị ảnh hưởng bởi vấn đề này. Tất cả các phiên bản OpenSSL 1.1.1 đều bị ảnh hưởng bởi vấn đề này. Người dùng của các phiên bản này nên nâng cấp lên OpenSSL 1.1.1k. OpenSSL 1.0.2 không bị ảnh hưởng bởi vấn đề này. Đã sửa trong OpenSSL 1.1.1k (bị ảnh hưởng 1.1.1-1.1.1j).

Sửa lỗi 2021/03/25 CVE-2021-3450 cao

Cờ X509_V_FLAG_X509_STRICT cho phép kiểm tra bảo mật bổ sung của các chứng chỉ có trong chuỗi chứng chỉ. Nó không được đặt theo mặc định. Bắt đầu từ OpenSSL phiên bản 1.1.1h Một kiểm tra để không cho phép chứng chỉ trong chuỗi có các tham số đường cong elip được mã hóa rõ ràng đã được thêm vào dưới dạng kiểm tra nghiêm ngặt bổ sung. Một lỗi trong việc thực hiện kiểm tra này có nghĩa là kết quả của kiểm tra trước đó để xác nhận rằng các chứng chỉ trong chuỗi là chứng chỉ CA hợp lệ đã bị ghi đè. Điều này có hiệu quả bỏ qua kiểm tra rằng các chứng chỉ không phải CA không thể cấp các chứng chỉ khác. Nếu một mục đích của người Viking đã được cấu hình thì có một cơ hội tiếp theo để kiểm tra rằng chứng chỉ là CA. Tất cả các giá trị có tên là mục đích của các mục đích được thực hiện trong libcrypto đều thực hiện kiểm tra này. Do đó, trong đó một mục đích được đặt, chuỗi chứng chỉ vẫn sẽ bị từ chối ngay cả khi cờ nghiêm ngặt đã được sử dụng. Một mục đích được đặt theo mặc định trong các thói quen xác minh chứng chỉ máy khách và máy chủ LIBSSL, nhưng nó có thể được ghi đè hoặc xóa bởi một ứng dụng. Để bị ảnh hưởng, một ứng dụng phải đặt rõ ràng cờ xác minh X509_V_FLAG_X509_STRICT và không đặt mục đích xác minh chứng chỉ hoặc, trong trường hợp ứng dụng máy khách hoặc máy chủ TLS, ghi đè mục đích mặc định. Phiên bản OpenSSL 1.1.1h và mới hơn bị ảnh hưởng bởi vấn đề này. Người dùng của các phiên bản này nên nâng cấp lên OpenSSL 1.1.1k. OpenSSL 1.0.2 không bị ảnh hưởng bởi vấn đề này. Đã sửa trong OpenSSL 1.1.1k (bị ảnh hưởng 1.1.1H-1.1.1J).

Sửa lỗi 2021/03/25 CVE-2021-23841 Môi trường

Chức năng API công khai OpenSSL X509_ISSUER_AND_SERIAL_HASH () cố gắng tạo giá trị băm duy nhất dựa trên dữ liệu số phát hành và số sê -ri có trong chứng chỉ X509. Tuy nhiên, nó không xử lý chính xác bất kỳ lỗi nào có thể xảy ra trong khi phân tích trường phát hành (điều này có thể xảy ra nếu trường tổ chức phát hành được xây dựng một cách độc hại). Điều này sau đó có thể dẫn đến một con trỏ null Deref và một vụ tai nạn dẫn đến một cuộc tấn công dịch vụ từ chối tiềm năng. Hàm x509_issuer_and_serial_hash () không bao giờ được OpenSSL gọi trực tiếp nên các ứng dụng chỉ dễ bị tổn thương nếu chúng sử dụng chức năng này trực tiếp và chúng sử dụng nó trên các chứng chỉ có thể được lấy từ các nguồn không đáng tin cậy. Phiên bản OpenSSL 1.1.1i trở xuống bị ảnh hưởng bởi vấn đề này. Người dùng của các phiên bản này nên nâng cấp lên OpenSSL 1.1.1J. Phiên bản OpenSSL 1.0.2x trở xuống bị ảnh hưởng bởi vấn đề này. Tuy nhiên, OpenSSL 1.0.2 không được hỗ trợ và không còn nhận được cập nhật công khai. Khách hàng hỗ trợ cao cấp của OpenSSL 1.0.2 nên nâng cấp lên 1.0.2y. Người dùng khác nên nâng cấp lên 1.1.1J. Đã sửa trong OpenSSL 1.1.1J (bị ảnh hưởng 1.1.1-1.1.1i). Đã sửa trong OpenSSL 1.0.2Y (bị ảnh hưởng 1.0.2-1.0.2x).

Sửa lỗi 2021/02/16 CVE-2021-23840 cao

Các cuộc gọi đến EVP_CIPHERUPDATE, EVP_ENCRYPTUPDATE và EVP_DECRYPTUPDATE có thể vượt qua đối số độ dài đầu ra trong một số trường hợp độ dài đầu vào gần với độ dài tối đa cho phép cho một số nguyên trên nền tảng. Trong những trường hợp như vậy, giá trị trả về từ lệnh gọi hàm sẽ là 1 (biểu thị thành công), nhưng giá trị độ dài đầu ra sẽ âm. Điều này có thể khiến các ứng dụng hoạt động không chính xác hoặc gặp sự cố. Phiên bản OpenSSL 1.1.1i trở xuống bị ảnh hưởng bởi vấn đề này. Người dùng của các phiên bản này nên nâng cấp lên OpenSSL 1.1.1J. Phiên bản OpenSSL 1.0.2x trở xuống bị ảnh hưởng bởi vấn đề này. Tuy nhiên, OpenSSL 1.0.2 không được hỗ trợ và không còn nhận được cập nhật công khai. Khách hàng hỗ trợ cao cấp của OpenSSL 1.0.2 nên nâng cấp lên 1.0.2y. Người dùng khác nên nâng cấp lên 1.1.1J. Đã sửa trong OpenSSL 1.1.1J (bị ảnh hưởng 1.1.1-1.1.1i). Đã sửa trong OpenSSL 1.0.2Y (bị ảnh hưởng 1.0.2-1.0.2x).

Khắc phục khả dụng 2021/02/16 CVE-2020-36242 quan trọng trong gói mật mã trước 3.3.2 Đối với Python, một số chuỗi các cuộc gọi cập nhật để mã hóa đối xứng với các giá trị đa GB có thể dẫn đến tràn số nguyên và bộ đệm Lớp Fernet. Sửa lỗi 2021/02/07 CVE-2020-35654 cao

Trong Pillow trước 8.1.0, TiffDecode có một bộ đệm dựa trên đống khi giải mã các tệp YCBCR được chế tạo do xung đột giải thích nhất định với LIBTIFIF ở chế độ RGBA.

Khắc phục khả dụng 2021/12/01 CVE-2019-11068 LIBXSLT quan trọng đến 1.1.33 cho phép bỏ qua cơ chế bảo vệ vì người gọi XSLtcheckread và XSLTcheckWrite cho phép truy cập ngay cả khi nhận được mã lỗi -1. XSLTcheckRead có thể trả về -1 cho một URL được chế tạo không thực sự không hợp lệ và sau đó được tải. Khắc phục khả năng 2020/04/10 CVE-2020-7212 Chức năng _encode_invalid_chars trong UTIL/url.py trong thư viện Urllib3 1.25.2 đến 1.25.7 đối với Python cho phép từ chối dịch vụ (tiêu thụ CPU) vì mức độ không hiệu quả. Mảng phần trăm_encodings chứa tất cả các trận đấu của phần trăm mã hóa. Nó không được sao chép. Đối với một url có độ dài n, kích thước của phần trăm_encodings có thể lên đến o (n). Bước tiếp theo (bình thường hóa các byte được mã hóa phần trăm hiện tại) cũng mất đến O (n) cho mỗi bước, do đó tổng thời gian là O (n^2). Nếu phần trăm_encodings được sao chép, thời gian để tính toán _encode_invalid_chars sẽ là O (kN), trong đó k nhiều nhất là 484 ((10+6*2)^2). Khắc phục khả năng 2020/03/06 CVE-2020-26137 URLLIB3 trung bình trước 1.25.9 cho phép tiêm CRLF nếu kẻ tấn công kiểm soát phương thức yêu cầu HTTP, như được chứng minh bằng cách chèn các ký tự điều khiển CR và LF trong đối số đầu tiên của PutRequest (). Lưu ý: Điều này tương tự như CVE-2020-26116. Khắc phục khả năng 2020/09/30 CVE-2020-5390 PYSAML2 cao trước 5.0.0 không kiểm tra xem chữ ký trong tài liệu SAML có được bao bọc không và do đó gói chữ ký có hiệu quả, tức là, nó bị ảnh hưởng bởi gói chữ ký XML (XSW). Thông tin chữ ký và nút/đối tượng được ký có thể ở những nơi khác nhau và do đó xác minh chữ ký sẽ thành công, nhưng dữ liệu sai sẽ được sử dụng. Điều này đặc biệt ảnh hưởng đến việc xác minh khẳng định đã được ký kết. Sửa lỗi 2020/01/13 CVE-2020-11538 cao

Trong libimaging/sgirledecode.c Trong gối qua 7.0.0, một số lần đọc ngoài giới hạn tồn tại trong việc phân tích các tệp hình ảnh SGI, một vấn đề khác với CVE-2020-5311.

Khắc phục khả dụng 2019/06/25 CVE-2020-14422

Lib/ipaddress.py trong python đến 3.8.3 Các giá trị băm không đúng cách và kẻ tấn công này có thể khiến nhiều mục từ điển được tạo ra.

Lưu ý: iPaddress là thư viện Python 2 có backport từ Python 3 Core và dễ bị tổn thương với vấn đề được mô tả. ActiveState đã đưa ra phiên bản này và sửa nó. Nguồn có sẵn trong kho Github công khai của chúng tôi.

Khắc phục khả năng 2020/06/18 CVE-2020-11655 cao SQLite đến 3.31.1 cho phép kẻ tấn công gây ra sự từ chối dịch vụ (lỗi phân đoạn) thông qua truy vấn chức năng cửa sổ bị dị tật vì đối tượng Agginfo khởi tạo bị xử lý sai. Khắc phục khả năng 2020/04/08 CVE-2020-6802 Môi trường ở Mozilla Bleach Trước 3.11, XSS đột biến ảnh hưởng đến người dùng gọi Bleach. Khắc phục khả năng 2020/03/24 CVE-2020-5313 High Libimaging/Flidecode.c Trong gối trước 6.2.2 có tràn bộ đệm FLI. Khắc phục khả năng 2020/01/02 CVE-2020-5312 LIBIMAGIGITAL/PCXDECODE.C Trong gối trước 6.2.2 có tràn chế độ PCX P. Khắc phục khả năng 2020/01/02 CVE-2020-5311 Libimaging/sgirledecode.c trong gối trước 6.2.2 có tràn bộ đệm SGI. Khắc phục khả năng 2020/01/02 CVE-2020-5310 High Libimaging/tiffDecode.c Trong gối trước 6.2.2 có một lần tràn nguyên số giải mã tiff, liên quan đến REALLOC. Sửa lỗi 2020/01/02 CVE-2018-20843 cao

Trong libexpat trong nước ngoài trước 2.2.7, đầu vào XML bao gồm các tên XML có chứa một số lượng lớn các dấu chấm có thể khiến trình phân tích cú pháp XML tiêu thụ một lượng lớn tài nguyên RAM và CPU trong khi xử lý (đủ để sử dụng cho các cuộc tấn công từ chối dịch vụ) .

Khắc phục khả dụng 2019/06/24 CVE-2019-12900

Bz2_decompress trong decompress.c trong BZIP2 đến 1.0.6 có ghi ngoài giới hạn khi có nhiều bộ chọn.

Khắc phục khả dụng 2019/06/19

Python 2.7 có lỗi thời không?

Python 2 có phải là rủi ro bảo mật không?

Python 2 EOL khi nào?

Hiện tại phiên bản Python nào không được hỗ trợ chính thức?