内容简介:凌晨1点突然收到邮件,我使用的dependabot提醒我有依赖更新了, 还是安全更新.吓得我赶紧看看是怎么回事.更新的库是先查看了一下问题描述
cve-2019-11324 漏洞分析
凌晨1点突然收到邮件,我使用的dependabot提醒我有依赖更新了, 还是安全更新.吓得我赶紧看看是怎么回事.
更新的库是 urllib3
, 我查看了一下更新日志
- Don’t load system certificates by default when any other ca_certs , ca_certs_dir or ssl_context parameters are specified.
- Remove Authorization header regardless of case when redirecting to cross-site. (Issue href=“ #1510" rel="nofollow,noindex" target="_blank">https://github.com/urllib3/urllib3/issues/%5C1510">#1510 )
- Add support for IPv6 addresses in subjectAltName section of certificates. (Issue href=“ #1269" rel="nofollow,noindex" target="_blank">https://github.com/urllib3/urllib3/issues/%5C1269">#1269
本来以为是第一个条目的问题,查看了一下日期,应该是第二个#1510,因为它的时间刚好符合漏洞披露的期间,6个月.
补丁分析
先查看了一下问题描述 #1510
#1346 fixes only "Authorization" header. "authorization" header isn't supported. RFC7230 section 3.2 "Header Fields" (https://tools.ietf.org/html/rfc7230#section-3.2) says the following.
大概意思是根据RFC, http头字段大小写不敏感,而现在urllib3在重定向到其他站,删除头功能是大小写敏感的.
查看代码diff
原代码
for header in retries.remove_headers_on_redirect:
kw['headers'].pop(header, None)
修复后代码
for header in headers:
if header.lower() in retries.remove_headers_on_redirect:
kw['headers'].pop(header, None)
可以发现只是更改了一下大小写..
漏洞影响
个人觉得漏洞影响不大,就算不提本身的利用性不高, 再说使用这个功能还把大小写写错的人应该非常少.
.
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
