Kunpeng BoostKit 22.0.RC3.SPC1
Python CVE-2016-3189漏洞
问题单号 |
DTS:DTS2022081803112 漏洞编号:HWPSIRT-2016-13923 |
|---|---|
问题描述 |
该产品使用了Python 3.9.2中的1个安全漏洞,其外部漏洞编码(CVE)为:CVE-2016-3189。Python 3.9.2依赖的组件bzip2存在安全风险。 |
严重级别 |
严重 |
根因分析 |
产品使用的Python 3.9.2存在漏洞CVE-2016-3189。 |
解决方案 |
使用已修复该漏洞的Python。 |
修改影响 |
无 |
测试建议 |
Linux下bzip2版本与系统相关,构建过程中升级bzip2版本。 |
Python CVE-2018-25032漏洞
问题单号 |
DTS:DTS2022081502962 漏洞编号:HWPSIRT-2022-23306 |
|---|---|
问题描述 |
该产品使用了Python 3.9.2中的1个安全漏洞,其外部漏洞编码(CVE)为:CVE-2018-25032。Python 3.9.2依赖的组件zlib存在安全风险。 |
严重级别 |
严重 |
根因分析 |
产品使用的Python 3.9.2存在漏洞CVE-2018-25032。 |
解决方案 |
使用已修复该漏洞的Python。 |
修改影响 |
无 |
测试建议 |
Linux下zlib版本与系统相关,构建过程中升级zlib版本至1.2.12。 |
Python CVE-2021-28861漏洞
问题单号 |
DTS:DTS2022110705156 漏洞编号:HWPSIRT-2022-73587 |
|---|---|
问题描述 |
该产品使用了Python 3.9.2中的1个安全漏洞,其外部漏洞编码(CVE)为:CVE-2021-28861。Python 3.9.11中存在URL重定向漏洞,攻击者可以构造以//开头的URL触发重定向攻击。 |
严重级别 |
致命 |
根因分析 |
产品使用的Python 3.9.2存在漏洞CVE-2021-28861。 |
解决方案 |
使用已修复该漏洞的Python。 |
修改影响 |
无 |
测试建议 |
获得版本构建使用的Python的tag,对比tag修复漏洞列表,其中包含CVE-2021-28861漏洞则证明已修复该漏洞。 |
Python CVE-2020-10735漏洞
问题单号 |
DTS:DTS2022110705156 漏洞编号:HWPSIRT-2022-65549 |
|---|---|
问题描述 |
该产品使用了Python 3.9.2中的1个安全漏洞,其外部漏洞编码(CVE)为:CVE-2020-10735。Python 3.9.2中在将一个以10为底的字符串转换为数字时有2次的时间复杂度,大数字str和int相互转换时可能会导致DoS攻击。HAF工具受此漏洞的影响。 |
严重级别 |
致命 |
根因分析 |
产品使用的Python 3.9.2存在漏洞CVE-2020-10735。 |
解决方案 |
使用已修复该漏洞的Python。 |
修改影响 |
无 |
测试建议 |
获得版本构建使用的Python的tag,对比tag修复漏洞列表,其中包含CVE-2020-10735漏洞则证明已修复该漏洞。 |
Python CVE-2019-12900漏洞
问题单号 |
DTS:DTS2022110705156 漏洞编号:HWPSIRT-2019-15459 |
|---|---|
问题描述 |
该产品使用了Python 3.9.2中的1个安全漏洞,其外部漏洞编码(CVE)为:CVE-2019-12900。Python被动依赖bzip2 1.0.6版本的漏洞,与CVE-2016-3189属于同类型漏洞。 |
严重级别 |
致命 |
根因分析 |
产品使用的Python 3.9.2存在漏洞CVE-2019-12900。 |
解决方案 |
使用已修复该漏洞的Python。 |
修改影响 |
无 |
测试建议 |
获得版本构建使用的Python的tag,对比tag修复漏洞列表,其中包含CVE-2019-12900漏洞则证明已修复该漏洞。 |
Python CVE-2022-37454漏洞
问题单号 |
DTS:DTS2022110705156 漏洞编号:HWPSIRT-2022-65415 |
|---|---|
问题描述 |
该产品使用了Python 3.9.2中的1个安全漏洞,其外部漏洞编码(CVE)为:CVE-2022-37454。Python 3.9.2中SHA-3的实现具有整数溢出和由此产生的缓冲区溢出,允许攻击者执行任意代码或消除预期的加密属性。 |
严重级别 |
致命 |
根因分析 |
产品使用的Python 3.9.2存在漏洞CVE-2022-37454。 |
解决方案 |
使用已修复该漏洞的Python。 |
修改影响 |
无 |
测试建议 |
获得版本构建使用的Python的tag,对比tag修复漏洞列表,其中包含CVE-2022-37454漏洞则证明已修复该漏洞。 |
Python CVE-2022-45061漏洞
问题单号 |
DTS:DTS2022111110225、DTS2022111111115 漏洞编号:HWPSIRT-2022-48740 |
|---|---|
问题描述 |
该产品使用了Python 3.9.2中的1个安全漏洞,其外部漏洞编码(CVE)为:CVE-2022-45061。Python 3.9.2在处理IDNA解码器的某些输入时,一条路径中存在不必要的二次算法,因此向解码器呈现精心设计的、不合理的长名称可能会导致CPU拒绝服务。 |
严重级别 |
严重 |
根因分析 |
产品使用的Python 3.9.2存在漏洞CVE-2022-45061。 |
解决方案 |
使用已修复该漏洞的Python。 |
修改影响 |
无 |
测试建议 |
获得版本构建使用的Python的tag,对比tag修复漏洞列表,其中包含CVE-2022-45061漏洞则证明已修复该漏洞。 |
Python CVE-2022-42919漏洞
问题单号 |
DTS:DTS2022111006811 漏洞编号:HWPSIRT-2022-30512 |
|---|---|
问题描述 |
该产品使用了Python 3.9.2中的1个安全漏洞,其外部漏洞编码(CVE)为:CVE-2022-42919。Python 3.9.2允许在非默认配置中进行本地权限提升。在Linux上与forkserver start方法一起使用时,Pickles可以执行任意代码,意味着允许将本地用户权限升级到任何forkserver进程正在运行的用户。 |
严重级别 |
严重 |
根因分析 |
产品使用的Python 3.9.2存在漏洞CVE-2022-42919。 |
解决方案 |
使用已修复该漏洞的Python。 |
修改影响 |
无 |
测试建议 |
获得版本构建使用的Python的tag,对比tag修复漏洞列表,其中包含CVE-2022-42919漏洞则证明已修复该漏洞。 |
KMC漏洞
问题单号 |
DTS:DTS2022071306985 漏洞编号:HWPSIRT-2022-32170 |
|---|---|
问题描述 |
该产品的KMC组件存在流失加解密接口SdpEncryptUpdate、SdpEncryptUpdateEx、 SdpDecryptUpdate、SdpDecryptUpdateEx、 SdpEncryptFinal、SdpEncryptFinalEx、 SdpDecryptFinal、SdpDecryptFinalEx入参异常会导致整数翻转,导致底层密码学库发生内存问题,影响可用性。 |
严重级别 |
一般 |
根因分析 |
产品中的KMC组件存在HWPSIRT-2022-32170漏洞。 |
解决方案 |
使用已修复该漏洞的KMC。 |
修改影响 |
无 |
测试建议 |
获得版本构建使用的KMC的tag,对比tag修复漏洞列表,其中包含HWPSIRT-2022-32170漏洞则证明已修复该漏洞。 |