Debian DLA-2950-1:python-scrapy - LTS 安全性更新

medium Nessus Plugin ID 158996

Synopsis

遠端 Debian 主機上缺少一個或多個安全性更新。

描述

遠端 Debian 9 主機上安裝的多個套件受到 dla-2950 公告中提及的多個弱點影響。

- Scrapy 是適用 Python 的高階 Web 爬取與抓取架構。如果您使用 `HttpAuthMiddleware` (即 `http_user` 和 `http_pass` Spider 屬性) 進行 HTTP 驗證,則所有要求都會將您的憑證公開給要求目標。這包括由 Scrapy 元件產生的要求,例如當 `ROBOTSTXT_OBEY` 設定設為 `True` 時,Scrapy 傳送的 `robots.txt` 要求,或透過重新導向到達的要求。升級至 Scrapy 2.5.1 並使用新的 `http_auth_domain` spider 屬性來控制允許哪些網域接收已設定的 HTTP 驗證憑證。如果您使用的是 Scrapy 1.8 或更低版本,且無法升級至 Scrapy 2.5.1 ,則可以改為升級至 Scrapy 1.8.1 。如果無法升級,請在每個要求中設定 HTTP 驗證憑證,例如使用 `w3lib.http.basic_auth_header` 函式將您的憑證轉換為可以指派給要求之 `Authorization` 標頭的值,而非使用 `HttpAuthMiddleware` 全域定義憑證。(CVE-2021-41125)

- GitHub 存放庫 scrapy/scrapy 2.6.1 更早版本會將敏感資訊洩漏給未經授權的執行者。(CVE-2022-0577)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級 python-scrapy 套件。

針對 Debian 9「Stretch」,已在 1.0.3-2+deb9u1 版本中修正這些問題。

另請參閱

http://www.nessus.org/u?ef161ca1

https://www.debian.org/lts/security/2022/dla-2950

https://security-tracker.debian.org/tracker/CVE-2021-41125

https://security-tracker.debian.org/tracker/CVE-2022-0577

https://packages.debian.org/source/stretch/python-scrapy

Plugin 詳細資訊

嚴重性: Medium

ID: 158996

檔案名稱: debian_DLA-2950.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2022/3/16

已更新: 2022/3/16

支持的傳感器: Frictionless Assessment Agent, Nessus Agent

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 4

時間分數: 3

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N

時間媒介: CVSS2#E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-0577

CVSS v3

風險因素: Medium

基本分數: 6.5

時間分數: 5.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:python-scrapy:*:*:*:*:*:*:*, p-cpe:2.3:a:debian:debian_linux:python-scrapy-doc:*:*:*:*:*:*:*

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/3/16

弱點發布日期: 2021/10/6

參考資訊

CVE: CVE-2021-41125, CVE-2022-0577