Security content in this release gh-103142: The version of OpenSSL used in Windows and Mac installers has been upgraded to 1.1.1u to address CVE-2023-2650, CVE-2023-0465, CVE-2023-0466, CVE-2023-0464, as well as CVE-2023-0286, CVE-2022-4303, and CVE-2022-4303 fixed previously in 1.1.1t (gh-101727). gh-102153: urllib.parse.urlsplit() now strips leading C0 control and space characters following the specification for URLs defined by WHATWG in response to CVE-2023-24329. gh-99889: Fixed a security flaw in uu.decode() that could allow for directory traversal based on the input if no out_file was specified. gh-104049: Do not expose the local on-disk location in directory indexes produced by http.client.SimpleHTTPRequestHandler. gh-101283: subprocess.Popen now uses a safer approach to find cmd.exe when launching with shell=True.
时间: 2024-04-08 17:32:01 浏览: 31
安全内容在此版本中:
- gh-103142:Windows 和 Mac 安装程序中使用的 OpenSSL 版本已升级至 1.1.1u,以解决 CVE-2023-2650、CVE-2023-0465、CVE-2023-0466、CVE-2023-0464,以及之前在 1.1.1t 中修复的 CVE-2022-4303 和 CVE-2022-4303(gh-101727)。
- gh-102153:urllib.parse.urlsplit() 现在根据 WHATWG 对 URL 定义的规范,剥离了前导的 C0 控制字符和空格字符,以应对 CVE-2023-24329。
- gh-99889:修复了 uu.decode() 中的安全漏洞,如果未指定 out_file,则可能基于输入允许目录遍历。
- gh-104049:http.client.SimpleHTTPRequestHandler 生成的目录索引中不再暴露本地磁盘位置。
- gh-101283:subprocess.Popen 在使用 shell=True 启动时,现在采用了更安全的方法来查找 cmd.exe。
相关问题
node: --openssl-legacy-provider is not allowed in NODE_OPTIONS Waiting for the debugger to disconnect...
根据提供的引用内容,"node: --openssl-legacy-provider is not allowed in NODE_OPTIONS"错误是由于在NODE_OPTIONS环境变量中使用了--openssl-legacy-provider选项导致的。这个选项已经被弃用,因此会导致一些软件无法正常打开。
要解决这个问题,您可以尝试以下方法:
1. 检查并删除NODE_OPTIONS环境变量中的--openssl-legacy-provider选项。您可以通过以下命令来查看和修改环境变量:
```shell
echo $NODE_OPTIONS
export NODE_OPTIONS=<新的NODE_OPTIONS值>
```
2. 如果您需要使用--openssl-legacy-provider选项,可以尝试升级您的软件或库以适应新的选项。您可以查看软件或库的文档或官方网站,了解是否有关于此问题的解决方案或更新版本。
3. 如果您的软件依赖于旧版本的Node.js,您可以尝试使用nvm(Node Version Manager)来管理不同版本的Node.js。这样您可以在不同的项目中使用不同的Node.js版本,以解决与--openssl-legacy-provider选项相关的问题。
请注意,具体的解决方法可能因您的操作系统、软件版本和具体情况而有所不同。建议您查阅相关文档或咨询软件开发者以获取更准确的解决方案。
CVE-2016-2183:openSSL
CVE-2016-2183是一个与OpenSSL库相关的漏洞,也被称为Sweet32漏洞。该漏洞影响使用3DES加密算法的SSL/TLS连接,攻击者可以通过长时间的网络监听来获取加密数据的部分内容。这个漏洞的修复方法是禁用3DES加密算法或使用更安全的加密算法。
以下是一个使用OpenSSL命令行工具检查和修复CVE-2183漏洞的示例:
1. 检查是否受到CVE-2016-2183漏洞的影响:
```shell
openssl s_client -connect <hostname>:<port> -cipher "DES-CBC3-SHA"
```
如果输出中包含"Secure Renegotiation IS supported",则表示受到漏洞影响。
2. 禁用3DES加密算法:
```shell
openssl ciphers -v 'DEFAULT:!DES-CBC3-SHA'
```
这将禁用3DES加密算法,提高连接的安全性。
请注意,以上示例中的`<hostname>`和`<port>`需要替换为实际的主机名和端口号。
相关推荐
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)