内容简介:凌晨1点突然收到邮件,我使用的dependabot提醒我有依赖更新了, 还是安全更新.吓得我赶紧看看是怎么回事.更新的库是先查看了一下问题描述
cve-2019-11324 漏洞分析
凌晨1点突然收到邮件,我使用的dependabot提醒我有依赖更新了, 还是安全更新.吓得我赶紧看看是怎么回事.
更新的库是 urllib3
, 我查看了一下更新日志
- Don’t load system certificates by default when any other ca_certs , ca_certs_dir or ssl_context parameters are specified.
- Remove Authorization header regardless of case when redirecting to cross-site. (Issue href=“ #1510" rel="nofollow,noindex" target="_blank">https://github.com/urllib3/urllib3/issues/%5C1510">#1510 )
- Add support for IPv6 addresses in subjectAltName section of certificates. (Issue href=“ #1269" rel="nofollow,noindex" target="_blank">https://github.com/urllib3/urllib3/issues/%5C1269">#1269
本来以为是第一个条目的问题,查看了一下日期,应该是第二个#1510,因为它的时间刚好符合漏洞披露的期间,6个月.
补丁分析
先查看了一下问题描述 #1510
#1346 fixes only "Authorization" header. "authorization" header isn't supported. RFC7230 section 3.2 "Header Fields" (https://tools.ietf.org/html/rfc7230#section-3.2) says the following.
大概意思是根据RFC, http头字段大小写不敏感,而现在urllib3在重定向到其他站,删除头功能是大小写敏感的.
查看代码diff
原代码
for header in retries.remove_headers_on_redirect:
kw['headers'].pop(header, None)
修复后代码
for header in headers:
if header.lower() in retries.remove_headers_on_redirect:
kw['headers'].pop(header, None)
可以发现只是更改了一下大小写..
漏洞影响
个人觉得漏洞影响不大,就算不提本身的利用性不高, 再说使用这个功能还把大小写写错的人应该非常少.
.
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
程序员的职业素养
Robert C.Martin / 章显洲、余晟 / 人民邮电出版社 / 2012-9-1 / 49.00元
本书是编程大师Bob 大叔40 余年编程生涯的心得体会, 讲解成为真正专业的程序员需要什么样的态度、原则,需要采取什么样的行动。作者以自己以及身边的同事走过的弯路、犯过的错误为例,意在为后来人引路,助其职业生涯迈上更高台阶。 本书适合所有程序员,也可供所有想成为具备职业素养的职场人士参考。一起来看看 《程序员的职业素养》 这本书的介绍吧!
