阿里云漏洞库

漏洞描述

我们发现python-twin-web使用了来自http请求的Proxy header的值来初始化CGI脚本的http_Proxy环境变量，这反过来又被某些HTTP客户端实现错误地用于为传出的HTTP请求配置代理。远程攻击者可能会利用此缺陷通过恶意http请求将CGI脚本执行的http请求重定向到攻击者控制的代理。

解决建议

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：
https://pypi.python.org/pypi/Twisted

参考链接
http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2016-3090545.html
https://twistedmatrix.com/pipermail/twisted-web/2016-August/005268.html
https://twistedmatrix.com/trac/ticket/8623
https://www.openwall.com/lists/oss-security/2016/07/18/6

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	twistedmatrix	twisted	*		Up to (excluding) 16.3.1
	运行在以下环境
	系统	alpine_3.11	py3-twisted	*		Up to (excluding) 16.4.0-r0
	运行在以下环境
	系统	alpine_3.12	py3-twisted	*		Up to (excluding) 16.4.0-r0
	运行在以下环境
	系统	alpine_3.13	py3-twisted	*		Up to (excluding) 16.4.0-r0
	运行在以下环境
	系统	alpine_3.14	py3-twisted	*		Up to (excluding) 16.4.0-r0
	运行在以下环境
	系统	alpine_3.15	py3-twisted	*		Up to (excluding) 16.4.0-r0
	运行在以下环境
	系统	alpine_3.16	py3-twisted	*		Up to (excluding) 16.4.0-r0
	运行在以下环境
	系统	alpine_3.17	py3-twisted	*		Up to (excluding) 16.4.0-r0
	运行在以下环境
	系统	alpine_3.18	py3-twisted	*		Up to (excluding) 16.4.0-r0
	运行在以下环境
	系统	amazon_AMI	python-twisted-web	*		Up to (excluding) 8.2.0-5.5.amzn1
	运行在以下环境
	系统	centos_6	python-twisted-web	*		Up to (excluding) 8.2.0-5.el6_8
	运行在以下环境
	系统	centos_7	python-twisted-web	*		Up to (excluding) 12.1.0-5.el7_2
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0
	运行在以下环境
	系统	debian_10	twisted	*		Up to (excluding) 16.4.0-1
	运行在以下环境
	系统	debian_11	twisted	*		Up to (excluding) 16.4.0-1
	运行在以下环境
	系统	debian_12	twisted	*		Up to (excluding) 16.4.0-1
	运行在以下环境
	系统	opensuse_Leap_42.1	python-Twisted-doc	*		Up to (excluding) 15.4.0-3.1
	运行在以下环境
	系统	oracle_6	python-twisted-web	*		Up to (excluding) 12.1.0-5.el7_2
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 12.1.0-5.el7_2
	运行在以下环境
	系统	redhat_7	python-twisted-web	*		Up to (excluding) 12.1.0-5.el7_2
	运行在以下环境
	系统	suse_12	python-Twisted	*		Up to (excluding) 15.2.1-8
	运行在以下环境
	系统	ubuntu_14.04	twisted	*		Up to (excluding) 13.2.0-1ubuntu1.2
	运行在以下环境
	系统	ubuntu_14.04.6_lts	twisted	*		Up to (excluding) 13.2.0-1ubuntu1.2
	运行在以下环境
	系统	ubuntu_16.04	twisted	*		Up to (excluding) 16.0.0-1ubuntu0.2
	运行在以下环境
	系统	ubuntu_16.04.7_lts	twisted	*		Up to (excluding) 16.0.0-1ubuntu0.2
	运行在以下环境
	系统	ubuntu_18.04.5_lts	twisted	*		Up to (excluding) 17.9.0-1
	运行在以下环境
	系统	ubuntu_18.10	twisted	*		Up to (excluding) 17.9.0-1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-425	直接请求（强制性浏览）

低危 根据用户提供的Proxy request header设置环境变量

漏洞描述

解决建议

参考链接

受影响软件情况

低危根据用户提供的Proxy request header设置环境变量