Gunicorn: Gunicorn-Anforderungsschmuggel-Schwachstelle und 19.10-Release

Erstellt am 28. Apr. 2021  ·  5Kommentare  ·  Quelle: benoitc/gunicorn

Hallo, ich suche nach fehlgeschlagenen Sicherheitsscans für meine eigenen Projekte, die Abhängigkeiten von Gunicorn 19.10 haben.
Ich habe dieses verwandte Problem https://github.com/apache/airflow/issues/15570 geöffnet, aber jetzt bin ich hier, um es zu klären.

Wie ist der aktuelle Stand vom 19.10?
Diese CVE besagt, dass die Releases 19.10 und 20.0.1 die Sicherheitsanfälligkeit beim Schmuggeln von Anfragen gepatcht haben.

Die Version 19.10 hat jedoch einen fehlerhaften Build auf PyPI https://pypi.org/project/gunicorn/19.10.0/
Und 19.10 hat keine Versionshinweise https://github.com/benoitc/gunicorn/releases

Hinweis: Es ist möglich, dass dies ein Problem mit meiner Schwachstellendatenbank Safety https://github.com/pyupio/safety-db/blob/master/data/insecure_full.json#L8507 ist

Kurzum: Ist 19.10 stabil und sicher?

picture CoburnJoe

Alle 5 Kommentare

19.10 hat Versionshinweise im Änderungsprotokoll . Ich habe aufgehört, dies zu verwenden
Github-Funktion. Fehlerhafte Builds sind auf diesen Mist von Travis ci und Tests zurückzuführen
an Fenstern. Im kommenden Monat wird das CI auf einen besseren Service umgestellt.

Was dieses CVE betrifft, so war es von uns nicht offen, also sind es anscheinend einige Leute
informierter als ich. Auf jeden Fall ist dieses „Problem“ in 19.10 nicht vorhanden. Das "CVE" ist richtig.

benoitc picture benoitc am 28. Apr. 2021
👍1

@benoitc Vielen Dank für die schnelle Antwort!
Das beantwortet meine Fragen perfekt.

Als Referenz wird 19.10 von Pipenv/Safety als unsicher gekennzeichnet, aber ich werde jetzt dorthin wechseln, um nach einem Datenbank-Update zu sehen :)

CoburnJoe picture CoburnJoe am 28. Apr. 2021

@benoitc Vielen Dank für die schnelle Antwort!
Das beantwortet meine Fragen perfekt.

Als Referenz wird 19.10 von Pipenv/Safety als unsicher gekennzeichnet, aber ich werde jetzt dorthin wechseln, um nach einem Datenbank-Update zu sehen :)

afaik 20.1.0 ist stabil und sicher. Dies ist die aktuell unterstützte Version. 19.x-Zweig ist etwas veraltet.

benoitc picture benoitc am 28. Apr. 2021
👍1

afaik 20.1.0 ist stabil und sicher. Dies ist die aktuell unterstützte Version. 19.x-Zweig ist etwas veraltet.

Ja, aber Airflow fordert Versionen zwischen 19.5.0 und 20.0 an, das ist das Projekt, das ich verwende, also musste ich nachsehen – nochmals vielen Dank (ziemlich erfrischend, so schnelle Antworten zu erhalten).

CoburnJoe picture CoburnJoe am 28. Apr. 2021

Danke @CoburnJoe für die Frage und @benoitc für die Antwort. Tatsächlich verwendet Airflow 2.x eine Beschränkung von <20, aber die ganze Diskussion veranlasste mich zu untersuchen, warum (insbesondere die Zeile 1.10, die bereits auf 20 verschoben wurde). Ich werde es wahrscheinlich bald aktualisieren und auf die 20. Versionslinie wechseln :)

potiuk picture potiuk am 28. Apr. 2021
👍1
War diese Seite hilfreich?
0 / 5 - 0 Bewertungen

Verwandte Themen

mrwillis picture mrwillis  ·  4Kommentare
alep picture alep  ·  3Kommentare
mw44118 picture mw44118  ·  3Kommentare
davidfstr picture davidfstr  ·  3Kommentare
mw44118 picture mw44118  ·  4Kommentare