今天在运维阿里云服务器的时候,在阿里云安全中心管理控制台发现有一项漏洞风险提示为:RHSA-2019:0710-重要: python 安全更新。在详细信息描述中可以看到漏洞涉及到:由于urlsplit不正确的NFKC正常化导致的信息泄露。

开该漏洞风险详情信息后,可以查看到漏洞详情信息以及受影响的ECS服务器实例信息,如下图:

可以从漏洞详情中查看到如下具体信息:

漏洞编号

影响分  

漏洞公告

CVE-2019-9636

9.8

由于urlsplit不正确的NFKC正常化导致的信息泄露

从漏洞描述中可知:Python2.7.x到2.7.16和3.x到3.7.2受影响:在nfkc正常化期间对Unicode编码的不当处理(使用不正确的netloc)。其影响是:信息公开(针对给定主机名缓存的凭据、cookie等)。这些组件是:urllib.parse.urlplit,urllib.parse.urlparse。攻击矢量是:巧尽心思构建的url可能被错误地解析,以定位cookie或身份验证数据,并将该信息发送到与正确解析时不同的主机。 


在截图中的阿里云漏洞详情下面有列举出受到影响的阿里云ECS服务器实例信息,在实例列表中可通过阿里云官方提供的修复功能进行修复。