Gunicorn: طلب Gunicorn ضعف التهريب وإصدار 19.10

تم إنشاؤها على ٢٨ أبريل ٢٠٢١  ·  5تعليقات  ·  مصدر: benoitc/gunicorn

مرحبًا ، أنا أبحث في عمليات الفحص الأمني ​​الفاشلة لمشاريعي الخاصة التي لها تبعيات على Gunicorn 19.10.
لقد فتحت هذه المشكلة ذات الصلة https://github.com/apache/airflow/issues/15570 ، لكنني الآن هنا للتوضيح.

ما هو الوضع الحالي لـ 19.10؟
يشير هذا CVE إلى أن الإصدارين 19.10 و 20.0.1 قد قاما بتصحيح ثغرة التهريب الخاصة بالطلب.

ومع ذلك ، فإن الإصدار 19.10 به بنية فاشلة على PyPI https://pypi.org/project/gunicorn/19.10.0/
و 19.10 ليس لديه أي ملاحظات إصدار https://github.com/benoitc/gunicorn/releases

ملاحظة: من المحتمل أن تكون هذه مشكلة في أمان قاعدة بيانات الثغرات الأمنية https://github.com/pyupio/safety-db/blob/master/data/insecure_full.json#L8507

باختصار: هل 19.10 مستقر وآمن؟

picture CoburnJoe

ال 5 كومينتر

يحتوي الإصدار 19.10 على ملاحظات الإصدار في سجل التغيير . توقفت عن استخدام هذا
ميزة جيثب. البنايات الفاشلة ترجع إلى هذا الهراء من travis ci والاختبار
على النوافذ. في الشهر القادم سيتم نقل CI إلى خدمة أفضل.

بالنسبة إلى هذه مكافحة التطرف العنيف ، لم نفتحها من قبلنا ، لذا يبدو أن بعض الناس كذلك
أكثر علمًا مني. على أي حال هذه «العدد» ليست موجودة في 19.10. أن "CVE" صحيحة.

benoitc picture benoitc في ٢٨ أبريل ٢٠٢١
👍1

benoitc شكرا لك على الرد السريع!
هذا يجيب تمامًا على أسئلتي.

كمرجع ، تم وضع علامة 19.10 على أنها غير آمنة بواسطة Pipenv / Safety ، لكنني سأنتقل إلى هناك الآن لمعرفة المزيد عن تحديث قاعدة البيانات :)

CoburnJoe picture CoburnJoe في ٢٨ أبريل ٢٠٢١

benoitc شكرا لك على الرد السريع!
هذا يجيب تمامًا على أسئلتي.

كمرجع ، تم وضع علامة 19.10 على أنها غير آمنة بواسطة Pipenv / Safety ، لكنني سأنتقل إلى هناك الآن لمعرفة المزيد عن تحديث قاعدة البيانات :)

afaik 20.1.0 مستقر وآمن. هذا هو الإصدار الحالي المدعوم. 19.x تم إهمال فرع نوعا ما.

benoitc picture benoitc في ٢٨ أبريل ٢٠٢١
👍1

afaik 20.1.0 مستقر وآمن. هذا هو الإصدار الحالي المدعوم. 19.x تم إهمال فرع نوعا ما.

نعم ، لكن Airflow يطلب إصدارات بين 19.5.0 و 20.0 ، وهو المشروع الذي أستخدمه ، لذلك اضطررت إلى التحقق - شكرًا مرة أخرى (تم التحديث تمامًا للحصول على مثل هذه الردود السريعة)

CoburnJoe picture CoburnJoe في ٢٨ أبريل ٢٠٢١

شكرًا CoburnJoe على السؤال و benoitc للإجابة. في الواقع ، يستخدم Airflow 2.x أقل من 20 حدًا ولكن المناقشة بأكملها دفعتني إلى التحقيق في السبب (خاصة أن السطر 1.10 انتقل بالفعل إلى 20.). من المحتمل أن أقوم بتحديثه قريبًا والتبديل إلى 20. سطر من الإصدارات :)

potiuk picture potiuk في ٢٨ أبريل ٢٠٢١
👍1
هل كانت هذه الصفحة مفيدة؟
0 / 5 - 0 التقييمات

القضايا ذات الصلة

joekohlsdorf picture joekohlsdorf  ·  4تعليقات
zenglingyu picture zenglingyu  ·  4تعليقات
agilezebra picture agilezebra  ·  4تعليقات
haolujun picture haolujun  ·  3تعليقات
lordmauve picture lordmauve  ·  3تعليقات