httplib2では、「httplib2.Http.request()」のURIのエスケープされていない部分を制御している攻撃者が、リクエストヘッダーや本文を変更したり、追加の非表示リクエストを同じサーバーに送信したりする可能性があります。この脆弱性は、エスケープを使用した正しいurllib構築とは対照的に、文字列連結によって構築されたuriでhttplib2を使用するソフトウェアに影響を与えます。

Debian 8「Jessie」では、この問題はバージョン0.9+dfsg-2+deb8u1で修正されました。

お使いのpython-httplib2パッケージをアップグレードすることを推奨します。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-2232-1: python-httplib2セキュリティ更新

medium Nessus プラグイン ID 137008

バージョン 1.5