Confira !!
Foi descoberto uma vulnerabilidade de contrabando de solicitação HTTP no Waitress, que é o servidor WSGI Python puro. Se um servidor proxy for usado na frente do waitress, a resposta será a de uma solicitação inválida.
Pacote: waitress
Versão: 0.8.9-2 + deb8u1
Erro do Debian: # 765126
Foi descoberto que havia uma solicitação de contrabando HTTP
vulnerabilidade no waitress, servidor WSGI Python puro.
Se um servidor proxy for usado na frente do waitress, terá uma resposta de uma solicitação inválida
pode ser enviado por um invasor que ignora o front-end e é analisado
diferentemente pela garçonete, levando a um potencial de contrabando de solicitação.
Solicitações especialmente criadas que contêm caracteres especiais de espaço em branco
no cabeçalho Transfer-Encoding seria analisado pela garçonete como sendo
uma solicitação em partes, mas um servidor front-end usaria o
Comprimento do conteúdo, em vez de o cabeçalho Transfer-Encoding ser considerado
inválido devido a conter caracteres inválidos. Se um servidor front-end
faz o pipelining HTTP para um servidor de garçonete back-end, isso pode levar a
Divisão de solicitação HTTP que pode levar a um possível envenenamento de cache ou
divulgação de informação.
Para o Debian 8 "Jessie", esse problema foi corrigido na versão waitress
0.8.9-2 + deb8u1.
Recomendamos que você atualize seus pacotes de waitresste.
Mais informações sobre os avisos de segurança Debian LTS, como aplicar
Essas atualizações do sistema e as perguntas freqüentes podem ser
encontrado em: https://wiki.debian.org/LTS
Saudações,
- -
, '' '.
:: ': Chris Lamb
`. `` lamby@debian.org / chris-lamb.co.uk
`-
Fonte
Até a próixima !!
Nenhum comentário:
Postar um comentário