Gunicorn: Уязвимость запроса контрабанды Gunicorn и выпуск 19.10

Созданный на 28 апр. 2021  ·  5Комментарии  ·  Источник: benoitc/gunicorn

Привет, я изучаю неудачные проверки безопасности для моих собственных проектов, которые зависят от Gunicorn 19.10.
Я открыл эту связанную проблему https://github.com/apache/airflow/issues/15570 , но теперь я здесь для уточнения.

Каково текущее состояние 19.10?
В этом CVE говорится, что в выпусках 19.10 и 20.0.1 исправлена ​​уязвимость контрабанды запросов.

Однако в выпуске 19.10 есть неудачная сборка PyPI https://pypi.org/project/gunicorn/19.10.0/ .
И 19.10 не имеет примечаний к выпуску https://github.com/benoitc/gunicorn/releases.

Примечание. Возможно, это проблема с моей базой данных уязвимостей. Безопасность https://github.com/pyupio/safety-db/blob/master/data/insecure_full.json#L8507

Вкратце: стабильна ли и безопасна ли версия 19.10?

picture CoburnJoe

Все 5 Комментарий

19.10 имеет примечания к выпуску в журнале изменений . Я перестал использовать это
функция гитхаба. Неудачные сборки из-за этой хрени travis ci и test
на окнах. В ближайший месяц КИ будет переведен на более качественное обслуживание.

Что касается этой CVE, мы не открывали ее, поэтому, по-видимому, некоторые люди
информированнее меня. В любом случае этой «проблемы» нет в 19.10. Это «CVE» правильно.

benoitc picture benoitc 28 апр. 2021
👍1

@benoitc Спасибо за быстрый ответ!
Это прекрасно отвечает на мои вопросы.

Для справки, 19.10 помечен Pipenv/Safety как небезопасный, но сейчас я перейду туда, чтобы узнать об обновлении базы данных :)

CoburnJoe picture CoburnJoe 28 апр. 2021

@benoitc Спасибо за быстрый ответ!
Это прекрасно отвечает на мои вопросы.

Для справки, 19.10 помечен Pipenv/Safety как небезопасный, но сейчас я перейду туда, чтобы узнать об обновлении базы данных :)

afaik 20.1.0 стабилен и безопасен. Это текущая поддерживаемая версия. Ветвь 19.x несколько устарела.

benoitc picture benoitc 28 апр. 2021
👍1

afaik 20.1.0 стабилен и безопасен. Это текущая поддерживаемая версия. Ветвь 19.x несколько устарела.

Да, но Airflow запрашивает версии между 19.5.0 и 20.0, это проект, который я использую, поэтому мне пришлось проверить - еще раз спасибо (весьма приятно получать такие быстрые ответы)

CoburnJoe picture CoburnJoe 28 апр. 2021

Спасибо @CoburnJoe за вопрос и @benoitc за ответ. Действительно, Airflow 2.x использует ограничение <20, но вся дискуссия побудила меня выяснить, почему (особенно эта строка 1.10 уже перемещена на 20.). Скорее всего скоро обновлю и перейду на 20. Линейка версий :)

potiuk picture potiuk 28 апр. 2021
👍1
Была ли эта страница полезной?
0 / 5 - 0 рейтинги

Смежные вопросы

ttcqaq picture ttcqaq  ·  4Комментарии
gr790 picture gr790  ·  4Комментарии
joekohlsdorf picture joekohlsdorf  ·  4Комментарии
davidfstr picture davidfstr  ·  3Комментарии
mw44118 picture mw44118  ·  3Комментарии