Debian dla-4197python3-flask-cors - 安全性更新

medium Nessus Plugin ID 237621

語言:

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 11 主機安裝了一個受到 dla-4197 公告中提及的多個弱點影響的套件。

-------------------------------------------------- ----------------------- Debian LTS 公告 DLA-4197-1 [email protected] https://www.debian.org/lts/security/Daniel Leidert 2025 年 5 月 31 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

套件版本 3.0.9-2+deb11u1 CVE ID CVE-2024-1681 CVE-2024-6839 CVE-2024-6844 CVE-2024-6866 Debian 錯誤 1069764 1100988

在 Flask-CORS (用於處理跨源資源共用 (CORS) 的 Flask 延伸模組) 中發現多個安全性問題。

CVE-2024-1681

由於將記錄層級設定為除錯時有一個記錄插入弱點攻擊者可藉由傳送在要求路徑中包含 CRLF 序列的特製 GET 要求將假的記錄項目插入記錄檔。

CVE-2024-6839

有一個不正確的 regex 路徑比對弱點這是因為在比對路徑時較長的 regex 模式優先於較特定的模式所致可導致將限制較少的 CORS 原則套用到敏感端點。

CVE-2024-6844

因為處理 URL 路徑中的「+」字元所導致的不一致 CORS 比對導致路徑標準化不正確進而在 CORS 組態中造成潛在的不相符。

CVE-2024-6866

要求路徑比對不區分大小寫。這會導致不相符因為 URL 中的路徑是區分大小寫的。此錯誤設定可導致嚴重的安全性弱點進而允許未經授權的來源存取本應受到限制的路徑。

針對 Debian 11 Bullseye這些問題已在 3.0.9-2+deb11u1 版本中修正。

建議您升級 python-flask-cors 套件。

如需 python-flask-cors 的詳細安全性狀態請參閱其安全性追踪頁面
https://security-tracker.debian.org/tracker/python-flask-cors

有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱：https://wiki.debian.org/LTSAttachment:signature.ascDescription: 這是數位簽署的訊息部分

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。