Amazon Linux 2python3-urllib3 --advisory ALAS2-2026-3127 (ALAS-2026-3127)

high Nessus Plugin ID 294890

語言:

概要

遠端 Amazon Linux 2 主機缺少安全性更新。

說明

遠端主機上安裝的 python3-urllib3 版本比 1.25.6-2舊。因此，會受到 ALAS2-2026-3127 公告中所提及的多個弱點影響。

urllib3 是 Python 的人性化 HTTP 用戶端程式庫。以 `ProxyManager` 使用 urllib3 的 Proxy 支援時，`Proxy-Authorization` 標頭只會如預期傳送至設定的 Proxy。
但是，在*不*使用 urllib3 Proxy 支援的情況下傳送 HTTP 要求時，可能會意外設定 `Proxy-Authorization` 標頭，即使因為要求未使用轉送 Proxy 或通道 Proxy 而不會產生任何影響，也是如此。在這些情況下，urllib3 不會將 `Proxy-Authorization` HTTP 標頭視為攜帶驗證資料的標頭，因此不會去除跨來源重新導向的標頭。由於這是極不可能發生的狀況，因此我們認為對於幾乎所有使用者而言，此弱點的嚴重性較低。謹慎起見，urllib3 會在跨來源重新導向期間自動去除 `Proxy-Authorization` 標頭，以避免使用者意外這樣做 (雖然可能性很小)。使用者應使用 urllib3 的 proxy 支援或停用自動重新導向，以安全處理 `Proxy-Authorization` 標頭，但我們仍決定預設去除標頭，以進一步保護未使用正確方法的使用者。我們認為，受此公告影響的使用情況較少。要惡意利用此弱點，必須符合下列所有條件：1. 設定 `Proxy-Authorization` 標頭，而不使用 urllib3 的內建 proxy 支援。2. 未停用 HTTP 重新導向。3. 未使用 HTTPS 原始伺服器，或是 proxy 或目標來源重新導向至惡意來源。建議使用者更新至 1.26.19 版或 2.2.2 版。無法升級的使用者可以透過 urllib3 的 `ProxyManager` 使用 `Proxy-Authorization` 標頭、在傳送要求時使用 `redirects=False` 停用 HTTP 重新導向，或不使用 `Proxy-Authorization` 標頭作為緩解措施。(CVE-2024-37891)

urllib3 是 Python 的人性化 HTTP 用戶端程式庫。從 1.24 版及 2.6.0之前的版本開始解壓縮鏈結中的連結數無限制允許惡意伺服器插入幾乎無限數量的壓縮步驟導致高 CPU 使用率以及為解壓縮資料配置大量記憶體。此弱點已在 2.6.0 中修復。(CVE-2025-66418)

urllib3 是 Python 的人性化 HTTP 用戶端程式庫。從 1.0 版和 2.6.0之前的版本開始Streaming API 未正確處理高度壓縮的資料。 urllib3 的串流 API 設計為透過以區塊讀取內容來有效處理大型 HTTP 回應而非一次將整個回應內文載入記憶體。串流壓縮的回應時urllib3 可根據 HTTP Content-Encoding 標頭 (例如gzip、deflate、br 或 zstd) 執行解碼或解壓縮。
程式庫必須從網路讀取壓縮資料並加以解壓縮直到符合要求的區塊大小為止。所產生的任何超過要求數量的解壓縮資料都會保留在內部緩衝區中以供下次讀取作業使用。解壓縮邏輯可造成 urllib3 在單一作業中完全解碼少量高度壓縮的資料。這可導致過度資源消耗 (高 CPU 使用率以及為解壓縮資料配置大量記憶體。(CVE-2025-66471)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。