Debian DLA-3610-1：python-urllib3 - LTS 安全性更新

critical Nessus Plugin ID 182762

語系：

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 10 主機上安裝的多個套件受到 dla-3610 公告中提及的多個弱點影響。

- 1.23 版之前的 urllib3 未在進行跨源重新導向後 (即，主機、連接埠或配置不同的重新導向) 移除授權 HTTP 標頭。授權標頭中的憑證可能因此洩漏給非預期的主機，或以純文字格式傳輸。(CVE-2018-20060)

- 在 Python 適用的 urllib3 程式庫 1.24.1 之前版本中，若攻擊者控制了要求參數，就可能執行 CRLF 插入。(CVE-2019-11236)

- Python 適用的 urllib3 程式庫 1.24.2 之前版本未正確處理所需 CA 憑證集不同於 CA 憑證的 OS 存放區的特定情況，進而導致在驗證失敗為正確結果的情況下成功進行 SSL 連線。這與使用 ssl_context、ca_certs 或 ca_certs_dir 引數相關。(CVE-2019-11324)

- 在 Python 2.x 至 2.7.16 版本中的 urllib2 和 Python 3.x 至 3.7.3 版本中的 urllib 中發現一個問題。
若攻擊者控制了 url 參數便可能發生 CRLF 插入，具有 \r\n 且後接 HTTP 標頭或 Redis 命令的 urllib.request.urlopen 首位引數 (特別是在 ? 字元後的查詢字串中) 即為一例。此問題已在下列版本中修正：v2.7.17、v2.7.17rc1、v2.7.18、v2.7.18rc1；v3.5.10、v3.5.10rc1、v3.5.8、v3.5.8rc1、v3.5.8rc2、v3.5.9；v3.6.10、v3.6.10rc1、v3.6.11、v3.6.11rc1、v3.6.12、v3.6.9、v3.6.9rc1；v3.7.4、v3.7.4rc1、v3.7.4rc2、v3.7.5、v3.7.5rc1、v3.7.6、v3.7.6rc1、v3.7.7、v3.7.7rc1、v3.7.8、v3.7.8rc1、v3.7.9。(CVE-2019-9740)

- 在 Python 3.x 的 3.5.10 之前版本、3.6.x 的 3.6.12 之前版本、3.7.x 的 3.7.9 之前版本以及 3.8.x 的 3.8.5 之前版本中，如果攻擊者控制 HTTP 要求方法，http.client 會允許 CRLF 插入，在 HTTPConnection.request 的第一個引數中插入 CR 和 LF 控制字元即為一例。(CVE-2020-26116)

- 如果攻擊者控制 HTTP 要求方法，1.25.9 之前版本的 urllib3 允許 CRLF 插入，在 putrequest() 的第一個引數中插入 CR 和 LF 控製字元即為一例。注意：此問題與 CVE-2020-26116 類似。(CVE-2020-26137)

- urllib3 是適用於 Python 的人性化 HTTP 用戶端程式庫。urllib3 並未特殊處理 `Cookie` HTTP 標頭，或提供任何協助程式來管理 HTTP 上的 Cookie，這是使用者的責任。
但是，如果使用者未明確停用重新導向，該使用者或可指定 `Cookie` 標頭，並透過 HTTP 重新導向至不同來源，進而在不知情的情況下泄漏資訊。此問題已在 urllib3 1.26.17 版或 2.0.5 版中修正。(CVE-2023-43804)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。