CentOS 9python-urllib3-1.26.5-7.el9

high Nessus 插件 ID 297556

语言：

简介

远程 CentOS 主机缺少一个或多个 python3-urllib3 安全更新。

描述

远程 CentOS Linux 9 主机上存在一个安装的程序包该程序包受到 python-urllib3-1.26.5-7.el9 版本变更日志中提及的多个漏洞的影响。

- urllib3 是 Python 的 HTTP 客户端库。 urllib3 的流 API 设计用于通过读取区块中的内容而不是将整个响应正文一次加载到内存中来有效地处理大型 HTTP 响应。 urllib3 可能会根据 HTTP “Content-Encoding”标头（例如“gzip”、“deflate”、“br”或“zstd”）执行解码或解压缩。使用流 API 时该库仅解压缩必要的字节从而启用部分内容。从版本 1.22 到低于的版本 2.6.3开始对于 HTTP 重定向响应库会读取整个响应正文以耗尽连接并解压缩不必要的内容。此解压缩甚至在调用任何读取方法之前就发生，而且配置的读取限制未限制解压缩的数据量。因此，不存在针对泄压炸弹的防范措施。恶意的服务器可利用此漏洞在客户端上触发过度资源消耗。通过在不禁用重定向的情况下设置“preload_content=False”应用程序和库在来自不受信任来源的流内容时会受到影响。用户应升级到至少 urllib3 v2.6.3其在“preload_content=False”时库不会解码重定向响应的内容。如果无法立即升级，请通过针对不受信任来源的请求设置“redirect=False”来禁用重定向。 (CVE-2026-21441)

- urllib3 是适用于 Python 的易用 HTTP 客户端库。自版本 1.24 至低于 2.6.0的版本中解压缩链中的链接数量不受限制可让恶意服务器插入几乎无限的压缩步骤进而导致为解压缩的数据分配高 CPU 使用率和大量内存。此漏洞已在 2.6.0 中修复。(CVE-2025-66418)

- urllib3 是适用于 Python 的易用 HTTP 客户端库。自版本 1.0 至低于 2.6.0的版本中Streaming API 未正确处理高度压缩的数据。 urllib3 的流 API 设计用于通过读取区块中的内容而不是将整个响应正文一次加载到内存中来有效地处理大型 HTTP 响应。当流式传输压缩响应时urllib3 可能基于 HTTP 内容编码标头例如 gzip、deflate、br 或 zstd执行解码或解压缩。
该库必须从网络读取压缩的数据并将其解压缩直到满足请求的区块大小为止。任何超出请求数量的结果解压缩数据都将保留在内部缓冲区中，以供下一次读取操作使用。这些解压缩逻辑可导致 urllib3 在单个操作中完全解码少量高度压缩的数据。这可导致过多资源消耗解压缩的数据高 CPU 使用率和大量内存分配。(CVE-2025-66471]

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新 CentOS 9 Stream python3-urllib3 程序包。

另见

https://kojihub.stream.centos.org/koji/buildinfo?buildID=95493

插件详情

严重性: High

ID: 297556

文件名: centos9_python-urllib3-1_26_5-7_95493.nasl

版本: 1.1

类型: local

代理: unix

系列: CentOS Local Security Checks

发布时间: 2026/2/2

最近更新时间: 2026/2/2

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus