阿里云漏洞库

漏洞描述

urllib3是Python的一款用户友好的HTTP客户端库。之前，urllib3在HTTP重定向响应（状态码为301、302或303）后没有删除HTTP请求体，即使请求的方法已从一种可以接受请求体的方法（如`POST`）更改为HTTP RFC要求的`GET`。尽管此行为未在重定向部分中指定，但可以通过将来自不同部分的信息进行拼接来推测出此行为，我们还观察到其他主要HTTP客户端实现（如curl和Web浏览器）中存在此行为。由于此漏洞需要先前可信服务被入侵以对机密性产生影响，我们认为此漏洞的利用可能性较低。此外，许多用户在HTTP请求体中不放置敏感数据，如果是这种情况，则无法利用此漏洞。受此漏洞影响必须同时满足以下两个条件：1. 使用urllib3并在HTTP请求体中提交敏感信息（如表单数据或JSON），并且2. 原服务被入侵并开始使用301、302或303重定向到恶意对端或被重定向的服务被入侵。此问题已在版本1.26.18和2.0.7中得到解决，建议用户更新以解决此问题。无法更新的用户应禁用对不希望使用redirect的服务的重定向（`redirects=False`），并禁用自动重定向（`redirects=False`），并通过剥离HTTP请求体来手动处理301、302和303重定向。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/urllib3/urllib3/commit/4e98d57809dacab1cbe625fddeec1a290c478ea9
https://github.com/urllib3/urllib3/security/advisories/GHSA-g4mx-q9vg-27p4
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://www.rfc-editor.org/rfc/rfc9110.html#name-get

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	python	urllib3	*		Up to (excluding) 1.26.18
	运行在以下环境
	应用	python	urllib3	*	From (including) 2.0.0	Up to (excluding) 2.0.7
	运行在以下环境
	系统	alma_linux_8	python3-urllib3	*		Up to (excluding) 1.24.2-5.el8_9.2
	运行在以下环境
	系统	alma_linux_9	python3-urllib3	*		Up to (excluding) 1.26.5-3.el9_3.1
	运行在以下环境
	系统	alpine_3.15	py3-urllib3	*		Up to (excluding) 1.26.18-r0
	运行在以下环境
	系统	alpine_3.16	py3-urllib3	*		Up to (excluding) 1.26.18-r0
	运行在以下环境
	系统	alpine_3.17	py3-urllib3	*		Up to (excluding) 1.26.18-r0
	运行在以下环境
	系统	alpine_3.18	py3-urllib3	*		Up to (excluding) 1.26.18-r0
	运行在以下环境
	系统	alpine_3.19	py3-urllib3	*		Up to (excluding) 1.26.18-r0
	运行在以下环境
	系统	amazon_2	python-urllib3	*		Up to (excluding) 1.25.9-1.amzn2.0.3
	运行在以下环境
	系统	anolis_os_23	python-urllib3	*		Up to (excluding) 1.26.18-1
	运行在以下环境
	系统	debian_10	python-urllib3	*		Up to (excluding) 1.24.1-1+deb10u2
	运行在以下环境
	系统	fedoraproject	fedora	38	-
	运行在以下环境
	系统	fedora_37	python-urllib3	*		Up to (excluding) 1.26.18-1.fc37
	运行在以下环境
	系统	fedora_38	python-urllib3	*		Up to (excluding) 1.26.18-1.fc38
	运行在以下环境
	系统	fedora_39	python-urllib3	*		Up to (excluding) 1.26.18-1.fc39
	运行在以下环境
	系统	kylinos_aarch64_V10HPC	python3-urllib3	*		Up to (excluding) 1.26.12-6.ky10h
	运行在以下环境
	系统	kylinos_x86_64_V10HPC	python3-urllib3	*		Up to (excluding) 1.26.12-6.ky10h
	运行在以下环境
	系统	opensuse_5.3	python3-urllib3	*		Up to (excluding) 1.25.10-150300.4.9.1
	运行在以下环境
	系统	opensuse_5.4	python3-urllib3	*		Up to (excluding) 1.25.10-150300.4.9.1
	运行在以下环境
	系统	opensuse_Leap_15.4	python3-urllib3	*		Up to (excluding) 1.25.10-150300.4.9.1
	运行在以下环境
	系统	opensuse_Leap_15.5	python3-urllib3	*		Up to (excluding) 1.25.10-150300.4.9.1
	运行在以下环境
	系统	oracle_8	python3-urllib3	*		Up to (excluding) 1.24.2-5.0.1.el8_9.2
	运行在以下环境
	系统	oracle_9	python3-urllib3	*		Up to (excluding) 1.26.5-3.0.1.el9_3.1
	运行在以下环境
	系统	redhat_8	python3-urllib3	*		Up to (excluding) 1.24.2-5.el8_9.2
	运行在以下环境
	系统	redhat_9	python3-urllib3	*		Up to (excluding) 1.26.5-3.el9_3.1
	运行在以下环境
	系统	suse_12_SP5	python-urllib3	*		Up to (excluding) 1.25.10-3.37.1
	运行在以下环境
	系统	ubuntu_20.04	python-pip	*		Up to (excluding) 1.25.8-2ubuntu0.3
	运行在以下环境
	系统	ubuntu_22.04	python-pip	*		Up to (excluding) 1.26.5-1~exp1ubuntu0.1

攻击路径

本地
攻击复杂度

困难
权限要求

管控权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-200	信息暴露
NVD-CWE-noinfo

低危 在 urllib3 中重定向后未剥离请求正文 (CVE-2023-45803)

漏洞描述

解决建议

参考链接

受影响软件情况

低危在 urllib3 中重定向后未剥离请求正文 (CVE-2023-45803)