安全公告/【CVE-2023-25577】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:高危
影响源码包:python-werkzeug
CVSS评分:7.5
发现日期:2024/9/19
修复日期:2024/10/9
修复版本:python-werkzeug-1.0.1-2

漏洞描述

Werkzeug 是一个全面的 WSGI Web 应用程序库。在 2.2.3 版之前,Werkzeug 的多部分表单数据解析器将解析无限数量的部分,包括文件部分。部分可以是少量字节,但每个部分都需要 CPU 时间来解析,并且可能使用更多内存作为 Python 数据。如果可以向访问 `request.data`、`request.form`、`request.files` 或 `request.get_data(parse_form_data=False)` 的端点发出请求,则可能导致意外的高资源使用率。这允许攻击者通过向将解析它的端点发送精心设计的多部分数据来导致拒绝服务。所需的 CPU 时间量可能会阻止工作进程处理合法请求。所需的 RAM 量可能会触发进程的内存不足终止。无限的文件部分可能会耗尽内存和文件句柄。如果连续发送许多并发请求,这可能会耗尽或终止所有可用的工作进程。2.2.3 版包含针对此问题的补丁。

漏洞判定

执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复

修复方式

软件包升级
yum install python-werkzeug-1.0.1-1.rf01.zkhq8

补丁