Debian DLA-3610-1：python-urllib3 - LTS 安全更新

critical Nessus 插件 ID 182762

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 10 主机上安装的程序包受到 dla-3610 公告中提及的多个漏洞影响。

- urllib3 1.23 之前的版本未在进行跨源重定向后（即主机、端口或方案不同的重定向）移除授权 HTTP 标头。授权标头中的凭据可能因此泄露给非预期的主机，或以明文格式传输。(CVE-2018-20060)

- 在适用于 Python 的 urllib3 库 1.24.1 及其之前版本中，如果攻击者控制请求参数，则可能发生 CRLF 注入。(CVE-2019-11236)

- 适用于 Python 的 urllib3 库 1.24.2 之前的版本未正确处理某些情况，即需要的 CA 证书集与 CA 证书的 OS 存储不同，从而导致在验证失败为正确结果的情况下，SSL 连接成功。这与使用 ssl_context、ca_certs 或 ca_certs_dir 参数相关。(CVE-2019-11324)

- 在 Python 2.x 至 2.7.16 版本的 urllib2 以及 Python 3.x 至 3.7.3 版本的 urllib 中发现问题。
如果攻击者控制了 url 参数便可能发生 CRLF 注入，使用 \r\n 的 urllib.request.urlopen 的第一个参数（特别是在 ? 字符后的查询字符串中）且后跟 HTTP 标头或 Redis 命令即为一例。此问题已在以下版本中修复：v2.7.17、v2.7.17rc1、v2.7.18、v2.7.18rc1；v3.5.10、v3.5.10rc1、v3.5.8、v3.5.8rc1、v3.5.8rc2、v3.5.9；v3.6.10、v3.6.10rc1、v3.6.11、v3.6.11rc1、v3.6.12、v3.6.9、v3.6.9rc1；v3.7.4、v3.7.4rc1、v3.7.4rc2、v3.7.5、v3.7.5rc1、v3.7.6、v3.7.6rc1、v3.7.7、v3.7.7rc1、v3.7.8、v3.7.8rc1、v3.7.9。(CVE-2019-9740)

- 如果攻击者控制 HTTP 请求方法，则 Python 3.5.10 之前的 3.x、3.6.12 之前的 3.6.x、3.7.9 之前的 3.7.x 以及 3.8.5 之前的 3.8.x 中的 http.client 会允许 CRLF 注入，这一点已通过在 HTTPConnection.request 的第一个参数中插入 CR 和 LF 控制字符证实。(CVE-2020-26116)

- 如果攻击者控制 HTTP 请求方法，则 1.25.9 之前版本的 urllib3 会允许 CRLF 注入，这一点已通过在 putrequest() 的第一个参数中插入 CR 和 LF 控制字符证实。注意：此问题类似于 CVE-2020-26116。(CVE-2020-26137)

- urllib3 是一个用户友好型的 Python HTTP 客户端库。urllib3 不会特殊对待“Cookie” HTTP 标头，也不会提供任何通过 HTTP 管理 cookie 的帮助程序，这是用户的责任。
但是，如果用户没有明确禁用重定向，则该用户可能会指定“Cookie”标头，并在不知不觉中通过 HTTP 重定向将信息泄漏到不同的源。此问题已在 urllib3 版本 1.26.17 或 2.0.5 中修复。(CVE-2023-43804)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。