Gunicorn: Gunicorn 요청 밀수 취약점 및 19.10 릴리스

에 만든 2021년 04월 28일 · 5코멘트 · 출처: benoitc/gunicorn

안녕하세요, 저는 Gunicorn 19.10에 의존하는 제 프로젝트에 대한 보안 스캔 실패를 찾고 있습니다.
이 관련 문제를 https://github.com/apache/airflow/issues/15570 열었지만 이제 설명을 위해 여기에 있습니다.

19.10의 현재 상태는 무엇입니까?
이 CVE 는 19.10 및 20.0.1 릴리스가 요청 밀수 취약점을 패치했다고 말합니다.

그러나 19.10 릴리스에는 PyPI https://pypi.org/project/gunicorn/19.10.0/ 에서 빌드 실패가 있습니다.
그리고 19.10에는 릴리스 정보가 없습니다. https://github.com/benoitc/gunicorn/releases

참고: 이것은 내 취약성 데이터베이스 Safety https://github.com/pyupio/safety-db/blob/master/data/insecure_full.json#L8507 의 문제일 수 있습니다.

요컨대: 19.10은 안정적이고 안전한가요?

출처

CoburnJoe

모든 5 댓글

19.10의 변경 로그 에 릴리스 정보가 있습니다. 나는 이것을 사용하기 위해 멈췄다
깃허브 기능. 빌드 실패는 이 travis ci 및 테스트 쓰레기 때문입니다.
윈도우에. 다음 달에 CI가 더 나은 서비스로 이전됩니다.

이 CVE에 관해서는 이것은 우리가 열지 않았기 때문에 분명히 일부 사람들은
나보다 더 많은 정보를 제공합니다. 어떤 경우에도 이 « 문제»는 19.10에 존재하지 않습니다. "CVE"가 맞습니다.

benoitc 에 2021년 04월 28일

👍1

@benoitc 빠른 답변 감사합니다!
그것은 내 질문에 완벽하게 대답합니다.

참고로 19.10은 Pipenv/Safety에 의해 안전하지 않은 것으로 표시되지만 이제 데이터베이스 업데이트에 대해 살펴보겠습니다. :)

CoburnJoe 에 2021년 04월 28일

@benoitc 빠른 답변 감사합니다!
그것은 내 질문에 완벽하게 대답합니다.
참고로 19.10은 Pipenv/Safety에 의해 안전하지 않은 것으로 표시되지만 이제 데이터베이스 업데이트에 대해 살펴보겠습니다. :)

afaik 20.1.0은 안정적이고 안전합니다. 현재 지원되는 릴리스입니다. 19.x 브랜치는 더 이상 사용되지 않습니다.

benoitc 에 2021년 04월 28일

👍1

afaik 20.1.0은 안정적이고 안전합니다. 현재 지원되는 릴리스입니다. 19.x 브랜치는 더 이상 사용되지 않습니다.

예, 하지만 Airflow는 제가 사용하고 있는 프로젝트인 19.5.0과 20.0 사이의 버전을 요청하고 있으므로 확인해야 했습니다. 다시 한 번 감사합니다.

CoburnJoe 에 2021년 04월 28일

질문해 주신 @CoburnJoe 와 답변해 주신 @benoitc 에게 감사드립니다. 실제로 Airflow 2.x는 <20 제한을 사용하지만 전체 토론에서 이유를 조사해야 했습니다(특히 1.10 라인이 이미 20으로 이동됨). 나는 곧 그것을 업데이트하고 20으로 전환할 것입니다. 버전 라인 :)

potiuk 에 2021년 04월 28일

👍1

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급