Amazon Linux 2023：python3-twisted、python3-twisted+tls (ALAS2023-2023-056)

high Nessus 插件 ID 173089

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，它受到公告 ALAS2023-2023-056 中提及的多个漏洞影响。

- twisted 是用 Python 编写的事件驱动型网络引擎。在受影响的版本中，twisted 会在跟随跨源重定向时暴露 Cookie 和授权标头。`twited.web.RedirectAgent` 和 `twisted.web 中存在此问题。BrowserLikeRedirectAgent` 函数。建议所有用户都进行升级。没有已知的变通方案。(CVE-2022-21712)

Twisted 是基于事件的框架，适用于支持 Python 3.6+ 的 Internet 应用程序。在 22.2.0 之前版本中，Twisted SSH 客户端和服务器实现能够接受无限数量的对等机 SSH 版本标识符数据。这最终将导致缓冲区占用所有可用内存。附件和 `nc -rv localhost 22 < /dev/zero` 一样简单。版本 22.2.0 中有一个补丁可用。目前尚无已知的变通方案。(CVE-2022-21716)

Twisted 是基于事件的框架，适用于支持 Python 3.6+ 的 Internet 应用程序。在版本 22.4.0rc1 之前，位于“twisted.web.http”模块中的 Twisted Web HTTP 1.1 服务器能够解析多个 HTTP 请求构造，所用模式比 RFC 7230 所批的模式更宽松。如果请求通过多个 HTTP 解析器，则此不一致的解析可导致不同步，从而可能导致出现 HTTP 走私请求。
或会受到影响的用户使用 Twisted Web 的 HTTP 1.1 服务器和/或代理，并通过不同的 HTTP 服务器和/或代理传递请求。Twisted Web 客户端不受影响。HTTP 2.0 服务器使用不同的解析器，因此不受影响。此问题已在 Twisted 22.4.0rc1 中得到解决。有两种变通方案：使用升级等方法确保解决上游代理中的全部漏洞；或通过其他方式过滤畸形请求，例如配置上游代理。
(CVE-2022-24801)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。