Debian DLA-2686-1：python-urllib3のセキュリティ更新

critical Nessus プラグイン ID 150806

Language:

概要

リモートのDebianホストにセキュリティ更新プログラムがありません。

説明

PythonのHTTPクライアントであるpython-urllib3に、いくつかの脆弱性が見つかりました。

CVE-2018-20060

urllib3は、オリジン間リダイレクト（ホスト、ポート、またはスキームが異なるリダイレクト）に従うときにAuthorization HTTPヘッダーを削除しません。このため、Authorizationヘッダーの資格情報が意図しないホストに漏洩されたり、クリアテキストで送信されたりする可能性があります。

CVE-2019-11236

攻撃者がリクエストパラメーターを制御している場合にCRLFインジェクションが可能です。

CVE-2019-11324

Urllib3は、必要なCA証明書のセットがOSストアのCA証明書と異なるような特定の状況を誤って処理するため、検証の失敗が正しい結果となるような状況でもSSL接続が成功します。これは、ssl_context、ca_certs、またはca_certs_dir引数を使用していることに関連があります。

CVE-2020-26137

Urllib3では、攻撃者がHTTPリクエストメソッドを制御すれば、putrequest()の最初の引数にCRおよびLF制御文字を挿入することで実証されているように、CRLFインジェクションが可能です。

Debian 9 'Stretch'では、これらの問題はバージョン1.19.1-1+deb9u1で修正されています。

お使いのpython-urllib3パッケージをアップグレードすることを推奨します。

python-urllib3の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/python-urllib3

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。