Debian DLA-3610-1 : python-urllib3 - LTS のセキュリティ更新

critical Nessus プラグイン ID 182762

Language:

概要

リモートの Debian ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dla-3610 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- バージョン 1.23 より前の urllib3 は、オリジン間リダイレクト (ホスト、ポート、またはスキームが異なるリダイレクト) に従うときに Authorization HTTP ヘッダーを削除しません。これにより、Authorizationヘッダーの資格情報が意図しないホストに漏洩したり、クリアテキストで送信されたりする可能性があります。（CVE-2018-20060）

- Python の 1.24.1 までの urllib3 ライブラリでは、攻撃者がリクエストパラメーターを制御している場合に CRLF インジェクションが可能です。(CVE-2019-11236)

- Python の 1.24.2 より前の urllib3 ライブラリは、必要な CA 証明書のセットが OS ストアの CA 証明書と異なるような特定の状況を誤って処理するため、検証の失敗が正しい結果となるような状況でもSSL接続が成功するという結果を引き起こします。これは、ssl_context、ca_certs、または ca_certs_dir 引数を使用していることに関連があります。(CVE-2019-11324)

- Python 2.x～2.7.16 の urllib2 と Python 3.x～3.7.3 の urllib で問題が見つかりました。
\r\n(具体的には？記号の後のクエリ文字列内)の後ろにHTTPヘッダーまたはRedisコマンドが続くurllib.request.urlopenの最初の引数で示されているように、攻撃者がurlパラメーターを制御する場合にCRLFインジェクションが可能になります。これは以下で修正されます。v2.7.17、v2.7.17rc1、v2.7.18、v2.7.18rc1、v3.5.10、v3.5.10rc1、v3.5.8、v3.5.8rc1、v3.5.8rc2、v3.5.9、v3.6.10、v3.6.10rc1、v3.6.11、v3.6.11rc1、v3.6.12、v3.6.9、v3.6.9rc1、v3.7.4、v3.7.4rc1、v3.7.4rc2、v3.7.5、v3.7.5rc1、v3.7.6、v3.7.6rc1、v3.7.7、v3.7.7rc1、v3.7.8、v3.7.8rc1、v3.7.9。(CVE-2019-9740)

- Python 3.5.10 以前の 3.x、3.6.12 以前の 3.6.x、3.7.9 以前の 3.7.x、および 3.8.5 以前の 3.8.x の http.client では、HTTPConnection.request. の最初の引数に CR および LF 制御文字を挿入することで実証されているように、攻撃者が HTTP リクエストメソッドを制御すれば CRLF インジェクションが可能です。(CVE-2020-26116)

- 1.25.9より前のurllib3では、攻撃者がHTTPリクエストメソッドを制御すれば、putrequest()の最初の引数にCRおよびLF制御文字を挿入することで実証されているように、CRLFインジェクションが可能です。注意: これはCVE-2020-26116に類似しています。(CVE-2020-26137)

- urllib3 は、Python 用のユーザーフレンドリーな HTTP クライアントライブラリです。urllib3 では「Cookie」HTTP ヘッダーを特別に扱ったり、HTTP でクッキーを管理するためのヘルパーを提供したりしないため、これはユーザーの責任となります。
ただし、ユーザーがリダイレクトを明示的に無効にしない場合、ユーザーが「Cookie」ヘッダーを指定し、HTTP リダイレクトを介して知らないうちに別のオリジンに情報を漏洩する可能性があります。この問題は、urllib3 バージョン 1.26.17 または 2.0.5 でパッチ済みです。(CVE-2023-43804)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。