Debian DLA-2950-1 : python-scrapy - LTS セキュリティ更新

medium Nessus プラグイン ID 158996

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 9 ホストには、dla-2950 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Scrapy は、Python 用の高レベル Web クロールおよびスクレイピングフレームワークです。HTTP 認証に「HttpAuthMiddleware」(つまり「http_user」および「http_pass」スパイダー属性) を使用する場合、すべてのリクエストで認証情報がリクエストターゲットに漏えいします。これには、「ROBOTSTXT_OBEY」設定が「True」に設定されているときに Scrapy によって送信された「robots.txt」リクエストや、リダイレクトを通じて到達したリクエストなど、Scrapy コンポーネントによって生成されたリクエストが含まれます。Scrapy 2.5.1 にアップグレードし、新しい「http_auth_domain」スパイダー属性を使用して、構成された HTTP 認証の認証情報の受信を許可するドメインを制御してください。Scrapy 1.8 以前のバージョンを使用しており、Scrapy 2.5.1 へのアップグレードが選択できない場合は、代わりに Scrapy 1.8.1 にアップグレードできます。アップグレードできない場合は、「HttpAuthMiddleware」を使用してグローバルに認証情報を定義する代わりに、たとえば「w3lib.http.basic_auth_header」関数を使用して認証情報をリクエストの「Authorization」ヘッダーに割り当てることができる値に変換することで、HTTP 認証認証情報をリクエストごとに設定します。(CVE-2021-41125)

- 2.6.1 より前の GitHub リポジトリでの権限のないアクターへの機密情報の漏洩。(CVE-2022-0577)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

python-scrapy パッケージをアップグレードしてください。

Debian 9 Stretch では、これらの問題はバージョン 1.0.3-2+deb9u1 で修正されています

関連情報

http://www.nessus.org/u?ef161ca1

https://www.debian.org/lts/security/2022/dla-2950

https://security-tracker.debian.org/tracker/CVE-2021-41125

https://security-tracker.debian.org/tracker/CVE-2022-0577

https://packages.debian.org/source/stretch/python-scrapy

プラグインの詳細

深刻度: Medium

ID: 158996

ファイル名: debian_DLA-2950.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2022/3/16

更新日: 2022/3/16

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

Base Score: 4

Temporal Score: 3

ベクトル: AV:N/AC:L/Au:S/C:P/I:N/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2022-0577

CVSS v3

リスクファクター: Medium

Base Score: 6.5

Temporal Score: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:python-scrapy, p-cpe:/a:debian:debian_linux:python-scrapy-doc, cpe:/o:debian:debian_linux:9.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/3/16

脆弱性公開日: 2021/10/6

参照情報

CVE: CVE-2021-41125, CVE-2022-0577