CentOS 9python-urllib3-1.26.5-7.el9

high Nessus Plugin ID 297556

語言:

概要

遠端 CentOS 主機缺少 python3-urllib3 的一個或多個安全性更新。

說明

遠端 CentOS Linux 9 主機安裝了一個套件其受到 python-urllib3-1.26.5-7.el9 版本變更記錄中所提及的多個弱點影響。

- urllib3 是 Python 的 HTTP 用戶端程式庫。 urllib3 的串流 API 設計為透過以區塊讀取內容來有效處理大型 HTTP 回應而非一次將整個回應內文載入記憶體。 urllib3 可根據 HTTP `Content-Encoding` 標頭 (例如 `gzip`、`deflate`、`br` 或 `zstd`) 執行解碼或解壓縮。使用資料流 API 時程式庫只會解壓縮必要的位元組進而啟用部分內容消耗。從 1.22 版及 2.6.3版之前的版本開始針對 HTTP 重新導向回應程式庫會讀取整個回應內文以排出連線並在不必要的情況下解壓縮內容。此解壓縮情況甚至在呼叫任何讀取方法之前就已發生且已設定的讀取限制並未限制解壓縮的資料量。因此沒有針對解壓縮炸彈的防護措施。惡意伺服器可惡意利用此弱點觸髮用戶端的過度資源消耗。應用程式和程式庫在未停用重新導向的情況下設定「preload_content=False」從不受信任的來源串流內容時會受到影響。使用者應至少升級至 urllib3 v2.6.3其中程式庫在發生「preload_content=False」時不會解碼重新導向回應的內容。如果無法立即升級請針對不受信任來源的要求設定 `redirect=False` 來停用重新導向。 (CVE-2026-21441)

- urllib3 是 Python 的人性化 HTTP 用戶端程式庫。從 1.24 版及 2.6.0之前的版本開始解壓縮鏈結中的連結數無限制允許惡意伺服器插入幾乎無限數量的壓縮步驟導致高 CPU 使用率以及為解壓縮資料配置大量記憶體。此弱點已在 2.6.0 中修復。(CVE-2025-66418)

- urllib3 是 Python 的人性化 HTTP 用戶端程式庫。從 1.0 版和 2.6.0之前的版本開始Streaming API 未正確處理高度壓縮的資料。 urllib3 的串流 API 設計為透過以區塊讀取內容來有效處理大型 HTTP 回應而非一次將整個回應內文載入記憶體。串流壓縮回應時urllib3 可根據 HTTP Content-Encoding 標頭 (例如gzip、deflate、br 或 zstd) 執行解碼或解壓縮。
程式庫必須從網路讀取壓縮資料並加以解壓縮直到符合要求的區塊大小為止。所產生的任何超過要求數量的解壓縮資料都會保留在內部緩衝區中以供下次讀取作業使用。解壓縮邏輯可造成 urllib3 在單一作業中完全解碼少量高度壓縮的資料。這可導致過度資源消耗 (高 CPU 使用率以及為解壓縮資料配置大量記憶體。(CVE-2025-66471)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新 CentOS 9 Stream python3-urllib3 套件。

另請參閱

https://kojihub.stream.centos.org/koji/buildinfo?buildID=95493

Plugin 詳細資訊

嚴重性: High

ID: 297556

檔案名稱: centos9_python-urllib3-1_26_5-7_95493.nasl

版本: 1.1

類型: local

代理程式: unix

系列: CentOS Local Security Checks

已發布: 2026/2/2

已更新: 2026/2/2

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus