Debian DLA-4605：python-flask-httpauth-doc - 安全更新

high Nessus 插件 ID 317441

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

远程 Debian 11 主机上存在安装的程序包，该程序包受到 DLA-4605 公告中提及的漏洞的影响。

------------------------------------------------------------------------- Debian LTS 公告 [email protected] DLA-4605-1https://www.debian.org/lts/security/Emmanuel arias 2026 年 5 月 28 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

程序包：python-flask-httpauth 版本：3.2.4-3.1+deb11u1 CVE ID： CVE-2026-34531 Debian 缺陷：1132581

在 python-flask-httpauth（用于简化 Flask 路由使用 HTTP 身份验证的 Flask 扩展）中发现一个漏洞，如果客户端未传递令牌或传递空令牌，即向受标记保护的资源发出请求，或者传递空令牌的情况下，python-flask-httpauth 会调用应用程序的令牌验证回调函数，并将令牌参数设置为空字符串。如果应用程序的数据库中有任何将空字符串设置为其标记的用户，则其可能会针对这些用户中的任何一个用户对客户端请求进行认证。

对于 Debian 11 bullseye，此问题已在 3.2.4-3.1+deb11u1 版本中修复。

建议您升级 python-flask-httpauth 程序包。

若要了解更多 python-flask-httpauth 的详细安全状态，请参阅其安全跟踪页面：
https://security-tracker.debian.org/tracker/python-flask-httpauth

有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP signature

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。