Gunicorn: Gunicorn solicita vulnerabilidad de contrabando y versión 19.10

Creado en 28 abr. 2021  ·  5Comentarios  ·  Fuente: benoitc/gunicorn

Hola, estoy buscando escaneos de seguridad fallidos para mis propios proyectos que tienen dependencias en Gunicorn 19.10.
Abrí este problema relacionado https://github.com/apache/airflow/issues/15570 , pero ahora estoy aquí para aclararlo.

¿Cuál es el estado actual de 19.10?
Este CVE dice que las versiones 19.10 y 20.0.1 han parcheado la vulnerabilidad de contrabando de solicitudes.

Sin embargo, la versión 19.10 tiene una compilación fallida en PyPI https://pypi.org/project/gunicorn/19.10.0/
Y 19.10 no tiene notas de lanzamiento https://github.com/benoitc/gunicorn/releases

Nota: es posible que se trate de un problema con mi base de datos de vulnerabilidades Seguridad https://github.com/pyupio/safety-db/blob/master/data/insecure_full.json#L8507

En resumen: ¿19.10 es estable y seguro?

picture CoburnJoe

Todos 5 comentarios

19.10 tiene notas de lanzamiento en el registro de cambios . Dejé de usar esto
característica de github. Las compilaciones fallidas se deben a esta basura de travis ci y prueba
en ventanas En el próximo mes el CI será trasladado a un mejor servicio.

En cuanto a este CVE, no lo habíamos abierto, por lo que aparentemente algunas personas están
más informado que yo. En cualquier caso, este «problema» no está presente en 19.10. Ese "CVE" es correcto.

benoitc picture benoitc en 28 abr. 2021
👍1

@benoitc ¡ Gracias por la rápida respuesta!
Eso responde perfectamente a mis preguntas.

Como referencia, 19.10 está marcado como inseguro por Pipenv/Safety, pero me mudaré allí ahora para ver si hay una actualización de la base de datos :)

CoburnJoe picture CoburnJoe en 28 abr. 2021

@benoitc ¡ Gracias por la rápida respuesta!
Eso responde perfectamente a mis preguntas.

Como referencia, 19.10 está marcado como inseguro por Pipenv/Safety, pero me mudaré allí ahora para ver si hay una actualización de la base de datos :)

afaik 20.1.0 es estable y seguro. Esta es la versión compatible actual. La rama 19.x está algo obsoleta.

benoitc picture benoitc en 28 abr. 2021
👍1

afaik 20.1.0 es estable y seguro. Esta es la versión compatible actual. La rama 19.x está algo obsoleta.

Sí, pero Airflow está solicitando versiones entre 19.5.0 y 20.0, que es el proyecto que estoy usando, así que tuve que verificar, gracias de nuevo (bastante refrescante para obtener respuestas tan rápidas)

CoburnJoe picture CoburnJoe en 28 abr. 2021

Gracias @CoburnJoe por preguntar y @benoitc por responder. De hecho, Airflow 2.x usa una limitación <20, pero toda la discusión me llevó a investigar por qué (especialmente esa línea 1.10 que ya se movió a 20). Es probable que pronto lo actualice y cambie a 20. Línea de versiones :)

potiuk picture potiuk en 28 abr. 2021
👍1
¿Fue útil esta página
0 / 5 - 0 calificaciones

Temas relacionados

agilezebra picture agilezebra  ·  4Comentarios
lordmauve picture lordmauve  ·  3Comentarios
zenglingyu picture zenglingyu  ·  4Comentarios
joekohlsdorf picture joekohlsdorf  ·  4Comentarios
benoitc picture benoitc  ·  4Comentarios