安全公告/【CVE-2022-39348】
基本信息
漏洞描述
Twisted 是一个基于事件的互联网应用框架。从 0.9.4 版开始,当主机头与配置的主机不匹配时,`twisted.web.vhost.NameVirtualHost` 将返回 `NoResource` 资源,该资源将 Host 头未转义地呈现到 404 响应中,从而允许 HTML 和脚本注入。实际上,这应该很难被利用,因为能够修改正常 HTTP 请求的 Host 头意味着已经处于特权位置。此问题已在 22.10.0rc1 版中修复。没有已知的解决方法。
修复方式
软件包升级 yum update python-twisted
参考
https://github.com/twisted/twisted/commit/f2f5e81c03f14e253e85fe457e646130780db40b
https://github.com/twisted/twisted/security/advisories/GHSA-vg46-2rrj-3647
https://github.com/twisted/twisted/commit/f49041bb67792506d85aeda9cf6157e92f8048f4
https://lists.debian.org/debian-lts-announce/2022/11/msg00038.html
https://security.gentoo.org/glsa/202301-02