Gunicorn: Gunicorn meminta kerentanan penyelundupan dan rilis 19.10

Dibuat pada 28 Apr 2021  ·  5Komentar  ·  Sumber: benoitc/gunicorn

Hai, Saya sedang mencari pemindaian keamanan yang gagal untuk proyek saya sendiri yang memiliki ketergantungan pada Gunicorn 19.10.
Saya membuka masalah terkait ini https://github.com/Apache/airflow/issues/15570 , tetapi sekarang saya di sini untuk klarifikasi.

Bagaimana keadaan 19.10 saat ini?
CVE ini mengatakan rilis 19.10 dan 20.0.1 telah menambal kerentanan penyelundupan permintaan.

Namun, rilis 19.10 memiliki build yang gagal di PyPI https://pypi.org/project/gunicorn/19.10.0/
Dan 19.10 tidak memiliki catatan rilis https://github.com/benoitc/gunicorn/releases

Catatan: Mungkin ini masalah dengan basis data kerentanan saya Keamanan https://github.com/pyupio/safety-db/blob/master/data/insecure_full.json#L8507

Singkatnya: Apakah 19.10 stabil dan aman?

picture CoburnJoe

Semua 5 komentar

19.10 memiliki catatan rilis di changelog . Saya berhenti untuk menggunakan ini
fitur github. Build yang gagal adalah karena omong kosong travis ci dan tes ini
di jendela. Pada bulan mendatang CI akan dipindahkan ke layanan yang lebih baik.

Adapun CVE ini, ini belum kami buka sehingga tampaknya beberapa orang
lebih banyak informasi dari saya. Bagaimanapun juga «masalah» ini tidak ada di 19.10. "CVE" itu benar.

benoitc picture benoitc pada 28 Apr 2021
👍1

@benoitc Terima kasih atas balasan cepatnya!
Itu dengan sempurna menjawab pertanyaan saya.

Untuk referensi, 19.10 ditandai tidak aman oleh Pipenv/Safety, tetapi saya akan pindah ke sana sekarang untuk melihat tentang pembaruan basis data :)

CoburnJoe picture CoburnJoe pada 28 Apr 2021

@benoitc Terima kasih atas balasan cepatnya!
Itu dengan sempurna menjawab pertanyaan saya.

Untuk referensi, 19.10 ditandai tidak aman oleh Pipenv/Safety, tetapi saya akan pindah ke sana sekarang untuk melihat tentang pembaruan basis data :)

afaik 20.1.0 stabil dan aman. Ini adalah rilis yang didukung saat ini. Cabang 19.x agak usang.

benoitc picture benoitc pada 28 Apr 2021
👍1

afaik 20.1.0 stabil dan aman. Ini adalah rilis yang didukung saat ini. Cabang 19.x agak usang.

Ya, tetapi Airflow meminta versi antara 19.5.0 dan 20.0, yang merupakan proyek yang saya gunakan, jadi saya harus memeriksa - terima kasih lagi (cukup menyegarkan untuk mendapatkan tanggapan yang begitu cepat)

CoburnJoe picture CoburnJoe pada 28 Apr 2021

Terima kasih @CoburnJoe untuk bertanya dan @benoitc untuk menjawab. Memang Airflow 2.x menggunakan batasan <20 tetapi seluruh diskusi mendorong saya untuk menyelidiki mengapa (terutama jalur 1.10 yang sudah pindah ke 20.). Saya kemungkinan akan segera memperbaruinya dan beralih ke 20. Baris versi :)

potiuk picture potiuk pada 28 Apr 2021
👍1
Apakah halaman ini membantu?
0 / 5 - 0 peringkat

Masalah terkait

joekohlsdorf picture joekohlsdorf  ·  4Komentar
lordmauve picture lordmauve  ·  3Komentar
thomasjungblut picture thomasjungblut  ·  3Komentar
davidfstr picture davidfstr  ·  3Komentar
ttcqaq picture ttcqaq  ·  4Komentar