FreeBSD : py-Scrapy -- 認証情報漏洩の脆弱性 (2ad25820-c71a-4e6c-bb99-770c66fe496d)
high Nessus プラグイン ID 180368
Language:
概要
リモートの FreeBSD ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。説明
リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、2ad25820-c71a-4e6c-bb99-770c66fe496d のアドバイザリに記載されている脆弱性の影響を受けます。- ビルトイン HTTP プロキシダウンローダーミドルウェアが「proxy」メタデータでリクエストを処理し、その「proxy」メタデータにプロキシ認証情報が含まれている場合、ビルトイン HTTP プロキシダウンローダーミドルウェアは「Proxy-Authentication」ヘッダーを設定しますが、それはそのヘッダーがまだ設定されていない場合に限られます。リクエストを処理するたびに異なる「プロキシ」メタデータを設定する、サードパーティのプロキシローテーションダウンローダーミドルウェアも存在します。
リクエストの再試行とリダイレクトにより、同じリクエストがダウンローダーミドルウェアで複数回処理される可能性があります。これには、ビルトイン HTTP プロキシダウンローダーミドルウェアと、サードパーティのプロキシローテーションダウンローダーミドルウェアの両方が含まれます。これらのサードパーティ製プロキシローテーションダウンローダーミドルウェアは、リクエストの「proxy」メタデータを新しい値に変更できますが、「proxy」メタデータの以前の値から「Proxy-Authentication」ヘッダーを削除できないため、あるプロキシの認証情報が別のプロキシに漏洩する可能性があります。異なるプロキシプロバイダーのプロキシをローテーションし、それらのプロキシのいずれかが認証情報を必要とする場合、以下の **回避策** で説明されているようにプロキシローテーションを処理していない限りこの問題の影響を受けます。サードパーティのダウンローダーミドルウェアをプロキシローテーションに使用する場合、ダウンローダーミドルウェアにも同じ問題が生じます。また、パッチを適用したバージョンの Scrapy をインストールするだけでは不十分かもしれず、そのダウンローダーミドルウェアにもパッチを適用する必要があるかもしれません。(2ad25820-c71a-4e6c-bb99-770c66fe496d)
Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 180368
ファイル名: freebsd_pkg_2ad25820c71a4e6cbb99770c66fe496d.nasl
バージョン: 1.0
タイプ: local
公開日: 2023/8/31
更新日: 2023/8/31
サポートされているセンサー: Nessus
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:py310-scrapy, p-cpe:/a:freebsd:freebsd:py311-scrapy, p-cpe:/a:freebsd:freebsd:py37-scrapy, p-cpe:/a:freebsd:freebsd:py38-scrapy, p-cpe:/a:freebsd:freebsd:py39-scrapy, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/8/31
脆弱性公開日: 2022/7/29