Debian DLA-2950-1 : python-scrapy - LTS セキュリティ更新

medium Nessus プラグイン ID 158996

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 9 ホストには、dla-2950 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Scrapy は、Python 用の高レベル Web クロールおよびスクレイピングフレームワークです。HTTP 認証に「HttpAuthMiddleware」(つまり「http_user」および「http_pass」スパイダー属性) を使用する場合、すべてのリクエストで認証情報がリクエストターゲットに漏えいします。これには、「ROBOTSTXT_OBEY」設定が「True」に設定されているときに Scrapy によって送信された「robots.txt」リクエストや、リダイレクトを通じて到達したリクエストなど、Scrapy コンポーネントによって生成されたリクエストが含まれます。Scrapy 2.5.1 にアップグレードし、新しい「http_auth_domain」スパイダー属性を使用して、構成された HTTP 認証の認証情報の受信を許可するドメインを制御してください。Scrapy 1.8 以前のバージョンを使用しており、Scrapy 2.5.1 へのアップグレードが選択できない場合は、代わりに Scrapy 1.8.1 にアップグレードできます。アップグレードできない場合は、「HttpAuthMiddleware」を使用してグローバルに認証情報を定義する代わりに、たとえば「w3lib.http.basic_auth_header」関数を使用して認証情報をリクエストの「Authorization」ヘッダーに割り当てることができる値に変換することで、HTTP 認証認証情報をリクエストごとに設定します。(CVE-2021-41125)

- 2.6.1 より前の GitHub リポジトリでの権限のないアクターへの機密情報の漏洩。(CVE-2022-0577)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。