Debian dla-4605 ： python-flask-httpauth-doc - 安全性更新

high Nessus Plugin ID 317441

語言:

概要

遠端 Debian 主機缺少安全性相關更新。

說明

遠端 Debian 11 主機已安裝的套件會受到 dla-4605 公告中所述弱點的影響。

------------------------------------------------------------------------- Debian LTS 公告 DLA-4605-1 [email protected] https://www.debian.org/lts/security/Emmanuel Arias 2026 年 5 月 28 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

套件： python-flask-httpauth 版本： 3.2.4-3.1+deb11u1 CVE ID ： CVE-2026-34531 Debian 錯誤： 1132581

在 python-flask-httpauth 中發現一個弱點，python-flask-httpauth 是一個 Flask 擴充功能，可簡化 HTTP 驗證與 Flask 路由的使用，在用戶端向受權杖保護的資源發出要求而未傳遞權杖或傳遞空權杖的情況下，python-flask-httpauth 會叫用應用程式的權杖驗證回呼函式，並將權杖引數設為空字串。如果應用程式的資料庫中有任何使用者，且將空字串設定為權杖，則可能會針對任何這些使用者驗證用戶端要求。

對於 Debian 11 bullseye，此問題已在 3.2.4-3.1+deb11u1 版本中修復。

建議您升級 python-flask-httpauth 套件。

有關 python-flask-httpauth 的詳細安全性狀態，請參閱其安全性追蹤器頁面：
https://security-tracker.debian.org/tracker/python-flask-httpauth

有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱：https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 簽章

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。