Debian DLA-2056-1：waitress 安全更新

high Nessus 插件 ID 132593

语言：

简介

远程 Debian 主机缺少安全更新。

描述

发现 pure-Python WSGI 服务器 waitress 中存在 HTTP 请求走私漏洞。

如果在 waitress 前面使用了代理服务器，绕过前端的攻击者可能会发送一个无效请求，waitress 将以不同方式解析该请求，进而可能导致请求走私。

Transfer-Encoding 标头中包含特殊空白字符的特别构建请求将被 waitress 解析为分块请求，但是前端服务器会使用 Content-Length，因为 Transfer-Encoding 标头因包含无效字符而被视为无效。如果前端服务器对后端 Waitress 服务器执行 HTTP 管道操作，这可能导致 HTTP 请求拆分，进而可能引起缓存中毒或信息泄露。

对于 Debian 8“Jessie”，已在 waitress 版本 0.8.9-2+deb8u1 中修复此问题。

我们建议您升级 waitress 程序包。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

解决方案

升级受影响的程序包。

另见

https://lists.debian.org/debian-lts-announce/2020/01/msg00002.html

https://packages.debian.org/source/jessie/waitress

插件详情

严重性: High

ID: 132593

文件名: debian_DLA-2056.nasl

版本: 1.3

类型: local

代理: unix

系列: Debian Local Security Checks

发布时间: 2020/1/2

最近更新时间: 2021/1/11

支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

漏洞信息

CPE: cpe:/o:debian:debian_linux:8.0, p-cpe:/a:debian:debian_linux:python3-waitress, p-cpe:/a:debian:debian_linux:python-waitress-doc, p-cpe:/a:debian:debian_linux:python-waitress

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

补丁发布日期: 2020/1/1

漏洞发布日期: 2020/1/1