安全扫描已将 EL8 上的 python3-pip 9.0.3 识别为安全问题。我不在机器上使用Python。但是当我尝试删除它时,出现错误,因为 dnf 依赖于 Python..
我找不到适用于 EL8 的较新版本的 python3-pip。
有人对我如何解决这个问题有任何建议吗?我想知道是否可以删除 python 平台并安装更新的版本,例如 3.8。这是在 Docker 镜像上,所以我有实验的空间。
如果包中存在安全问题,那么您的提供商应该修复此问题。在此 Red Hat 应该提供修复。
在稳定版本(如 EL8)中,红帽避免将软件包重新调整为较新的版本,因为虽然这可以解决问题,但由于不兼容,它可能会引发一系列其他问题。因此,包维护者不是重新定位,而是将修复向后移植到旧版本。
这可能会混淆纯粹设计的安全扫描仪,从而产生漏报。
例如,这样的扫描器可以告诉您正在运行版本 9.0.3 的 python3-pip,并且它存在一系列安全问题:CVE-2018-20060、CVE-2019-11236、CVE-2019-11324、CVE- 2018-18074 但是如果你检查这个包的rpm日志:
* Mon Jun 07 2021 Lumír Balhar <[email protected]> - 9.0.3-20
- Fix for CVE-2021-3572 - pip incorrectly handled unicode separators in git references
Resolves: rhbz#1962856
...
Mon Jan 13 2020 Lumír Balhar <[email protected]> - 9.0.3-16
- Add four new patches for CVEs in bundled urllib3 and requests
CVE-2018-20060, CVE-2019-11236, CVE-2019-11324, CVE-2018-18074
Resolves: rhbz#1649153
Resolves: rhbz#1700824
Resolves: rhbz#1702473
Resolves: rhbz#1643829
...
假设您有软件包 9.0.3-20 或更高版本,您可以看到这些 CVE 在您的软件包中已修复。在这种情况下,破折号之后的最后一部分(版本号)非常重要。
结论:请检查变更日志。 CVE 可能已修复,您无需执行任何操作。