1.修復的CVE

    CVE-2019-12761

    PyXDG是一個訪問freedesktop.org標準的python庫。

    PyXDG 0.26之前版本中存在代碼注入漏洞。該漏洞源于外部輸入數據構造代碼段的過程中，網絡系統或產品未正確過濾其中的特殊元素。攻擊者可利用該漏洞生成非法的代碼段，修改網絡系統或組件的預期的執行控制流。

2.影響的操作系統

    銀河麒麟桌面操作系統V4 SP1

    銀河麒麟桌面操作系統V4 SP2

    銀河麒麟桌面操作系統V4 SP3

    銀河麒麟桌面操作系統V4 SP4

    銀河麒麟服務器操作系統V4 SP1

    銀河麒麟服務器操作系統V4 SP2

    銀河麒麟服務器操作系統V4 SP3

    銀河麒麟服務器操作系統V4 SP4

    銀河麒麟桌面操作系統V10

3.修復版本

    軟件包：pyxdg

    0.25-4kord0.16.04.1(V4、V10)

4.受影響的軟件包

    ·銀河麒麟操作系統V10桌面版、V4

    python3-xdg

    python-xdg

5.修復方法

方法一：配置源進行升級安裝

打開軟件包源配置文件，根據倉庫地址進行修改。

4.0.2-sp1:

http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse

4.0.2-sp2:

http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse

4.0.2-sp3:

http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse

4.0.2-sp4:

http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse

10.0:

http://archive.kylinos.cn/kylin/KYLIN-ALL 10.0 main restricted universe multiverse

10.0 SP1:

http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1 main restricted universe multiverse

配置完成后執行更新命令進行升級

$sudo apt update

6.軟件包下載地址

銀河麒麟操作系統V10桌面版、V4

X86_64軟件包下載地址

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/p/pyxdg/python-xdg_0.25-4kord0.16.04.1_all.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/p/pyxdg/python3-xdg_0.25-4kord0.16.04.1_all.deb

arm64軟件包下載地址

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/p/pyxdg/python-xdg_0.25-4kord0.16.04.1_all.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/p/pyxdg/python3-xdg_0.25-4kord0.16.04.1_all.deb

mips64el軟件包下載地址

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/p/pyxdg/python-xdg_0.25-4kord0.16.04.1_all.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/p/pyxdg/python3-xdg_0.25-4kord0.16.04.1_all.deb