检测

Debian DLA-3346-1:python-werkzeug - LTS 安全更新

low Nessus 插件 ID 171932

语言:

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 10 主机上安装的程序包受到 dla-3346 公告中提及的多个漏洞影响。

 - Werkzeug 是一个综合性的 WSGI Web 应用程序库。浏览器可能允许看起来像 `=value` 而不是 `key=value` 的无名 Cookie。有漏洞的浏览器可能会允许邻近子域中遭到入侵的应用程序利用此漏洞为另一个子域设置类似 `=__Host-test=bad` 的 Cookie。2.2.3 之前的 Werkzeug 会将 cookie `=__Host-test=bad` 解析为 __Host-test=bad`。如果 Werkzeug 应用程序在使用易受攻击的浏览器设置此类 cookie 的易受攻击或恶意的子域旁运行,Werkzeug 应用程序将看到错误的 cookie 值,但看到有效的 cookie 密钥。此问题已在 Werkzeug 2.2.3中修复。 (CVE-2023-23934)

 - Werkzeug 是一个综合性的 WSGI Web 应用程序库。在 2.2.3 之前的版本中,Werkzeug 的多部分表单数据解析器将解析无限数量的部分,包括文件部分。部分可以是少量字节,但每个部分都需要 CPU 时间来解析,并且可能将更多内存用作 Python 数据。如果可以向访问 `request.data`、`request.form`、`request.files` 或 `request.get_data(parse_form_data=False)` 的端点发出请求,则会造成意外的高资源使用率。这允许攻击者通过将构建的多部分数据发送到将对其进行解析的端点来造成拒绝服务。
 所需的 CPU 时间量可阻止工作线程处理合法请求。所需的 RAM 量可触发进程的内存不足终止。无限的文件部分会耗尽内存和文件句柄。如果连续发送许多并发请求,可能耗尽或终止所有可用的工作线程。2.2.3 版本包含针对此问题的补丁。(CVE-2023-25577)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新 python-werkzeug 程序包。

对于 Debian 10 Buster,已在 0.14.1+dfsg1-4+deb10u2 版本中修复这些问题。

另见

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1031370

http://www.nessus.org/u?98ea39fc

https://www.debian.org/lts/security/2023/dla-3346

https://security-tracker.debian.org/tracker/CVE-2023-23934

https://security-tracker.debian.org/tracker/CVE-2023-25577

https://packages.debian.org/source/buster/python-werkzeug

插件详情

严重性: Low

ID: 171932

文件名: debian_DLA-3346.nasl

版本: 1.0

类型: local

代理: unix

发布时间: 2023/2/27

最近更新时间: 2023/2/27

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Low

基本分数: 3.3

时间分数: 2.4

矢量: CVSS2#AV:A/AC:L/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2023-23934

CVSS v3

风险因素: Low

基本分数: 3.5

时间分数: 3.1

矢量: CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:python-werkzeug, p-cpe:/a:debian:debian_linux:python-werkzeug-doc, p-cpe:/a:debian:debian_linux:python3-werkzeug, cpe:/o:debian:debian_linux:10.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2023/2/27

漏洞发布日期: 2023/2/14

参考资料信息

CVE: CVE-2023-23934, CVE-2023-25577