Bug 14106

Summary:	[cve 21]python2 2.7.18 CVEs
Product:	[ROSA-based products] ROSA Fresh	Reporter:	Vladimir Potapov <v.potapov>
Component:	System (kernel, glibc, systemd, bash, PAM...)	Assignee:	ROSA Linux Bugs <bugs>
Status:	VERIFIED FIXED	QA Contact:	ROSA Linux Bugs <bugs>
Severity:	blocker
Priority:	Highest	CC:	a.proklov, pastordidi
Version:	All	Flags:	v.potapov: qa_verified+ v.potapov: secteam_verified? a.proklov: published+
Target Milestone:	---
Hardware:	All
OS:	Linux
URL:	CVE-2021-3733,CVE-2021-23336,CVE-2023-36632,CVE-2023-27043,CVE-2021-28667,CVE-2022-48564,CVE-2023-40217,CVE-2022-0391,CVE-2022-48560,CVE-2023-24329,CVE-2022-48566,CVE-2022-45061,CVE-2022-48565,CVE-2022-26488,CVE-2017-17522,CVE-2019-9674,
Whiteboard:
Platform:	---	ROSA Vulnerability identifier:
RPM Package:		ISO-related:
Bad POT generating:		Upstream:

Description Vladimir Potapov 2023-12-05 15:24:12 MSK

https://nvd.nist.gov/vuln/detail/CVE-2022-0391 exploit!
https://nvd.nist.gov/vuln/detail/CVE-2022-48560 exploit!
https://nvd.nist.gov/vuln/detail/CVE-2023-24329 Base Score: 7.5 HIGH
https://nvd.nist.gov/vuln/detail/CVE-2022-48566 exploit!
https://nvd.nist.gov/vuln/detail/CVE-2022-45061 exploit!
https://nvd.nist.gov/vuln/detail/CVE-2023-40217 Base Score: 5.3 MEDIUM
https://nvd.nist.gov/vuln/detail/CVE-2022-48565 exploit!
https://nvd.nist.gov/vuln/detail/CVE-2022-26488 Base Score: 7.0 HIGH
https://nvd.nist.gov/vuln/detail/CVE-2017-17522 Base Score: 8.8 HIGH
https://nvd.nist.gov/vuln/detail/CVE-2019-9674 Base Score: 7.5 HIGH
https://nvd.nist.gov/vuln/detail/CVE-2022-48564 Base Score: 6.5 MEDIUM
https://nvd.nist.gov/vuln/detail/CVE-2021-28667 Base Score: 7.5 HIGH
https://nvd.nist.gov/vuln/detail/CVE-2023-27043 Base Score: 5.3 MEDIUM
https://nvd.nist.gov/vuln/detail/CVE-2023-36632 Exploit!
https://nvd.nist.gov/vuln/detail/CVE-2021-23336 Base Score: 5.9 MEDIUM
https://nvd.nist.gov/vuln/detail/CVE-2021-3733 Base Score: 6.5 MEDIUM

Comment 1 Aleksandr Proklov 2023-12-06 05:24:56 MSK

CVE-2017-17522 - для python3, в python2 нет такого кода
CVE-2022-0391 - закрыто патчем
CVE-2022-48560 - закрыто патчем
CVE-2023-24329 - закрыто патчем
CVE-2022-48565 - закрыто патчем
CVE-2022-48566 - закрыто патчем
CVE-2022-45061 - закрыто патчем
CVE-2023-40217 - закрыто патчем
CVE-2022-26488 - для python3, в python2 нет такого кода
CVE-2019-9674 - для python3 и вобще только в документы коментарий вставляет
CVE-2022-48564 - для python3, в python2 нет такого кода
CVE-2021-28667 - непонятно что за баг и какой патч для него
CVE-2023-27043 - патча нет для python2, Debian не закрыл например
CVE-2019-20907 - закрыто патчем
CVE-2020-8492 - закрыто патчем
CVE-2021-23336 - закрыто патчем
CVE-2021-3177 - закрыто патчем
CVE-2023-36632 - для python3, вобще не понятно будут ли его закрывать, апстрим ответил что не планируют https://github.com/python/cpython/issues/103800
CVE-2021-3733 - закрыто патчем

python2	2.7.18-7

https://abf.io/build_lists/4857705 х64
https://abf.io/build_lists/4857706
https://abf.io/build_lists/4857707
https://abf.io/build_lists/4857708
https://abf.io/build_lists/4857709

Comment 2 Dmitry Postnikov 2023-12-06 14:41:40 MSK

*****************************
Обновление отослано в Тестинг

Comment 3 Vladimir Potapov 2023-12-08 11:53:32 MSK

С диска для серт. убрано

Comment 4 Vladimir Potapov 2023-12-14 10:45:09 MSK

python2-2.7.18-7
https://abf.io/build_lists/4857705 х64
https://abf.io/build_lists/4857706
https://abf.io/build_lists/4857707
https://abf.io/build_lists/4857708
https://abf.io/build_lists/4857709
************************* Advisory **************************
CVEs closed by patches
*************************************************************
QA Verified