ALAS-2025-1972

Amazon Linux 1（已终止支持）安全公告：ALAS-2025-1972

公告发布日期：2025-04-29
公告更新日期：2025-04-29

严重程度：中等

参考信息： CVE-2019-18348
CVE-2019-20907

问题概述

在Python中发现了一个CRLF注入漏洞，该漏洞存在于处理HTTP/HTTPS连接时的URL处理方式中（例如通过urlopen()或HTTPConnection）。能够控制传递给urllib/urllib2模块中urlopen方法的url参数的攻击者，可以通过滥用URL的"host"部分来注入CRLF序列和HTTP头部。（CVE-2019-18348）

在Python中发现另一个漏洞。在Lib/tarfile.py中，攻击者能够制作一个TAR归档文件，当被tarfile.open打开时，由于_proc_pax缺乏头部验证，会导致无限循环。（CVE-2019-20907）

受影响软件包

python26

问题修复

运行yum update python26或yum update --advisory ALAS-2025-1972来更新您的系统。

新软件包

i686架构：

• python26-2.6.9-2.92.amzn1.i686
• python26-test-2.6.9-2.92.amzn1.i686
• python26-debuginfo-2.6.9-2.92.amzn1.i686
• python26-devel-2.6.9-2.92.amzn1.i686
• python26-tools-2.6.9-2.92.amzn1.i686
• python26-libs-2.6.9-2.92.amzn1.i686

源代码：

• python26-2.6.9-2.92.amzn1.src

x86_64架构：

• python26-2.6.9-2.92.amzn1.x86_64
• python26-tools-2.6.9-2.92.amzn1.x86_64
• python26-libs-2.6.9-2.92.amzn1.x86_64
• python26-test-2.6.9-2.92.amzn1.x86_64
• python26-devel-2.6.9-2.92.amzn1.x86_64
• python26-debuginfo-2.6.9-2.92.amzn1.x86_64

附加参考

Red Hat：CVE-2019-18348，CVE-2019-20907
Mitre：CVE-2019-18348，CVE-2019-20907