我是一个长期的 linux 系统管理员,但对 CentOS 不熟悉。我只需要确定这个 CentOS 服务器是否容易受到CVE-2019-18348 的攻击。为此,我必须验证安装的软件包是否已打补丁,或者有办法测试机器上的漏洞。
我还没有找到任何可靠的方法来测试漏洞,所以我只能查看软件包版本、更改日志等。
首先,关于漏洞的一些细节:
CVE-2019-18348:在 Python 2.x 到 2.7.17 中的 urllib2 和 Python 3.x 到 3.8.0 中的 urllib 中发现了一个问题。如果攻击者控制了一个 url 参数,则 CRLF 注入是可能的,如 urllib.request.urlopen 的第一个参数所示,\r\n(特别是在 URL 的主机组件中)后跟一个 HTTP 标头。这类似于 CVE-2019-9740 查询字符串问题和 CVE-2019-9947 路径字符串问题。
当 glibc 修复了 CVE-2016-10739 时,这是不可利用的
以下是我的系统的版本详细信息:
系统已完全更新,但我没有看到启用任何安全性或反向移植存储库。我无法找到有关是否有针对 centos 的安全更新存储库以及如何启用它的任何信息。
[root@host]# yum repolist
Last metadata expiration check: 1:37:46 ago on Fri 06 Dec 2019 07:51:08 PM UTC.
repo id repo name status
AppStream …