安全公告/【CVE-2023-25577】
基本信息
漏洞描述
Werkzeug 是一个全面的 WSGI Web 应用程序库。在 2.2.3 版之前,Werkzeug 的多部分表单数据解析器将解析无限数量的部分,包括文件部分。部分可以是少量字节,但每个部分都需要 CPU 时间来解析,并且可能使用更多内存作为 Python 数据。如果可以向访问 `request.data`、`request.form`、`request.files` 或 `request.get_data(parse_form_data=False)` 的端点发出请求,则可能导致意外的高资源使用率。这允许攻击者通过向将解析它的端点发送精心设计的多部分数据来导致拒绝服务。所需的 CPU 时间量可能会阻止工作进程处理合法请求。所需的 RAM 量可能会触发进程的内存不足终止。无限的文件部分可能会耗尽内存和文件句柄。如果连续发送许多并发请求,这可能会耗尽或终止所有可用的工作进程。2.2.3 版包含针对此问题的补丁。
漏洞判定
执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复
修复方式
软件包升级 yum install python-werkzeug-1.0.1-1.rf01.zkhq8
参考
https://github.com/pallets/werkzeug/commit/517cac5a804e8c4dc4ed038bb20dacd038e7a9f1
https://github.com/pallets/werkzeug/releases/tag/2.2.3
https://github.com/pallets/werkzeug/security/advisories/GHSA-xg9f-g7g7-2323
https://www.debian.org/security/2023/dsa-5470
https://security.netapp.com/advisory/ntap-20230818-0003/