From ad2aae733205f326cf1a9a4e41963bc7ab84a920 Mon Sep 17 00:00:00 2001 From: jinzhimin369 Date: Fri, 4 Dec 2020 11:10:59 +0800 Subject: [PATCH] CVE-2019-9674 add --- docs/zh/docs/Administration/FAQ-54.md | 35 ++++++++++++++++++--------- 1 file changed, 24 insertions(+), 11 deletions(-) diff --git a/docs/zh/docs/Administration/FAQ-54.md b/docs/zh/docs/Administration/FAQ-54.md index 3f2e3d4c7..c0b106daa 100644 --- a/docs/zh/docs/Administration/FAQ-54.md +++ b/docs/zh/docs/Administration/FAQ-54.md @@ -9,6 +9,7 @@ - [安装时出现软件包冲突、文件冲突或缺少软件包导致安装失败](#安装时出现软件包冲突文件冲突或缺少软件包导致安装失败) - [libiscsi降级失败](#libiscsi降级失败) - [xfsprogs降级失败](#xfsprogs降级失败) + - [CVE-2019-9674提供补丁改善zipfile文档来规避](#CVE-2019-9674提供补丁改善zipfile文档来规避) @@ -180,27 +181,25 @@ Error: 3. 重新进行升级操作。 - ## libiscsi降级失败 ### 问题现象 -libiscsi-1.19.2 版本及以上降级到 libiscsi-1.19.1 及以下版本时失败。 +libiscsi-1.19.4 版本及以上降级到 libiscsi-1.19.3 及以下版本时失败。 ``` -Error: Transaction test error: -file /usr/bin/iscsi-inq from install of libiscsi-1.19.0-1.eulerosv2r9.x86_64 conflicts with file from package libiscsi-utils-1.19.0-2.eulerosv2r9.x86_64 -file /usr/bin/iscsi-ls from install of libiscsi-1.19.0-1.eulerosv2r9.x86_64 conflicts with file from package libiscsi-utils-1.19.0-2.eulerosv2r9.x86_64 -file /usr/bin/iscsi-perf from install of libiscsi-1.19.0-1.eulerosv2r9.x86_64 conflicts with file from package libiscsi-utils-1.19.0-2.eulerosv2r9.x86_64 -file /usr/bin/iscsi-readcapacity16 from install of libiscsi-1.19.0-1.eulerosv2r9.x86_64 conflicts with file from package libiscsi-utils-1.19.0-2.eulerosv2r9.x86_64 -file /usr/bin/iscsi-swp from install of libiscsi-1.19.0-1.eulerosv2r9.x86_64 conflicts with file from package libiscsi-utils-1.19.0-2.eulerosv2r9.x86_64 -file /usr/bin/iscsi-test-cu from install of libiscsi-1.19.0-1.eulerosv2r9.x86_64 conflicts with file from package libiscsi-utils-1.19.0-2.eulerosv2r9.x86_64 +Error: +Problem: problem with installed package libiscsi-utils-1.19.0-4.oe1.x86_64 +- package libiscsi-utils-1.19.0-4.oe1.x86_64 requires libiscsi(x86-64) = 1.19.0-4.oe1, but none of the providers can be installed +- cannot install both libiscsi-1.19.0-3.oe1.x86_64 and libiscsi-1.19.0-4.oe1.x86_64 +- cannot install both libiscsi-1.19.0-4.oe1.x86_64 and libiscsi-1.19.0-3.oe1.x86_64 +- conflicting requests +(try to add '--allowerasing' to command line to replace conflicting packages or '--skip-broken' to skip uninstallable packages or '--nobest' to use not only best candidate packages) ``` ### 原因分析 -libiscsi-1.19.1 之前的版本把 iscsi-xxx 等二进制文件打包进了主包 libiscsi,而这些二进制文件引入了不合理的依赖 CUnit, 为了解决这种不合理的依赖,在 libiscsi-1.19.2 版本把这些二进制文件单独拆分出来一个子包 libiscsi-utils,主包弱依赖于子包,产品可以根据自己的需求在做镜像时是否集成该子包;不集成或卸载子包不会影响 libiscsi 主包的功能。 - +libiscsi-1.19.3 之前的版本把 iscsi-xxx 等二进制文件打包进了主包 libiscsi,而这些二进制文件引入了不合理的依赖 CUnit, 为了解决这种不合理的依赖,在 libiscsi-1.19.4 版本把这些二进制文件单独拆分出来一个子包 libiscsi-utils,主包弱依赖于子包,产品可以根据自己的需求在做镜像时是否集成该子包;不集成或卸载子包不会影响 libiscsi 主包的功能。 如果系统中安装了 libiscsi-utils 子包,libiscsi-1.19.4 及以上版本降级到 libiscsi-1.19.3 及以下版本时,由于 libiscsi-1.19.3 及以下版本无法提供对应的 libiscsi-utils,因此 libiscsi-utils 不会降级,但 libiscsi-utils 依赖于降级前的 libiscsi 主包,导致依赖问题无法解决,最终导致降级失败。 ### 解决方案 @@ -239,3 +238,17 @@ Problem: problem with installed package xfsprogs-xfs_scrub-5.6.0-2.oe1.x86_64 ``` yum remove xfsprogs-xfs_scrub ``` + +## CVE-2019-9674提供补丁改善zipfile文档来规避 + +### 问题现象 + +Python至3.7.2版本中的Lib/zipfile.py允许远程攻击者通过ZIP炸弹造拒绝服务(资源消耗)。 + +### 影响分析 + +远程攻击者通过zip炸弹导致拒绝服务,影响目标系统业务甚至达到使系统崩溃的结果。zip炸弹就是一个高压缩比的zip文件,它本身可能只有几M或几十M的大小,但是解压缩之后会产生巨大的数据量,产生巨大的资源消耗。 + +### 解决方法 + +操纵适当的警告以告知用户使用zipfile模块时,他们可能会遇到zip炸弹问题;在zipfile文档中添加告警信息: https://github.com/python/cpython/blob/3.7/Doc/library/zipfile.rst。 \ No newline at end of file -- Gitee