Gunicorn: Gunicorn demande une vulnérabilité de contrebande et la version 19.10

Créé le 28 avr. 2021  ·  5Commentaires  ·  Source: benoitc/gunicorn

Bonjour, je recherche des analyses de sécurité défaillantes pour mes propres projets qui dépendent de Gunicorn 19.10.
J'ai ouvert ce problème connexe https://github.com/apache/airflow/issues/15570 , mais maintenant je suis ici pour des éclaircissements.

Quel est l'état actuel du 19.10 ?
Ce CVE indique que les versions 19.10 et 20.0.1 ont corrigé la vulnérabilité de contrebande de demandes.

Cependant, la version 19.10 a une version défaillante sur PyPI https://pypi.org/project/gunicorn/19.10.0/
Et 19.10 n'a pas de notes de version https://github.com/benoitc/gunicorn/releases

Remarque : Il est possible que ce soit un problème avec ma base de données de vulnérabilité Sécurité https://github.com/pyupio/safety-db/blob/master/data/insecure_full.json#L8507

En bref : 19.10 est-il stable et sécurisé ?

picture CoburnJoe

Tous les 5 commentaires

19.10 a des notes de version dans le journal des modifications . J'ai arrêté d'utiliser ça
fonctionnalité github. Les builds défaillants sont dus à cette merde de travis ci et de test
sur les fenêtres. Dans le mois à venir, le CI sera déplacé vers un meilleur service.

Quant à ce CVE, cela n'avait pas été ouvert par nous donc apparemment certaines personnes sont
plus informé que moi. De toute façon ce « problème » n'est pas présent en 19.10. Ce "CVE" est correct.

benoitc picture benoitc le 28 avr. 2021
👍1

@benoitc Merci pour la réponse rapide !
Cela répond parfaitement à mes questions.

Pour référence, 19.10 est signalé comme non sécurisé par Pipenv/Safety, mais je vais y aller maintenant pour voir une mise à jour de la base de données :)

CoburnJoe picture CoburnJoe le 28 avr. 2021

@benoitc Merci pour la réponse rapide !
Cela répond parfaitement à mes questions.

Pour référence, 19.10 est signalé comme non sécurisé par Pipenv/Safety, mais je vais y aller maintenant pour voir une mise à jour de la base de données :)

autant que je sache 20.1.0 est stable et sécurisé. Il s'agit de la version actuellement prise en charge. La branche 19.x est quelque peu obsolète.

benoitc picture benoitc le 28 avr. 2021
👍1

autant que je sache 20.1.0 est stable et sécurisé. Il s'agit de la version actuellement prise en charge. La branche 19.x est quelque peu obsolète.

Oui, mais Airflow demande des versions entre 19.5.0 et 20.0, qui est le projet que j'utilise, donc j'ai dû vérifier - merci encore (assez rafraîchissant d'obtenir des réponses aussi rapides)

CoburnJoe picture CoburnJoe le 28 avr. 2021

Merci @CoburnJoe d'avoir demandé et @benoitc d'avoir répondu. En effet, Airflow 2.x utilise la limitation <20, mais toute la discussion m'a incité à rechercher pourquoi (en particulier cette ligne 1.10 est déjà passée à 20.). Je vais probablement bientôt le mettre à jour et passer à 20. Ligne de versions :)

potiuk picture potiuk le 28 avr. 2021
👍1
Cette page vous a été utile?
0 / 5 - 0 notes

Questions connexes

haolujun picture haolujun  ·  3Commentaires
zenglingyu picture zenglingyu  ·  4Commentaires
Bogdanp picture Bogdanp  ·  3Commentaires
alep picture alep  ·  3Commentaires
gr790 picture gr790  ·  4Commentaires