如何解决urllib3.... 受证书验证绕过的影响高风险!”在我的审计标准输出中......?
您好,我有一条关于我的 arch-audit 返回的消息:“python-urllib3 受到证书验证绕过的影响。高风险!”
有什么意义? 'python-urllib3' 的代码有安全漏洞吗?要不然 ? 因为如果我理解得很好......它是代码的一部分,或者这个库无法很好地检查非对称加密通信的认证? 所以我考虑了反向shell和很多可能的攻击,这是危险的,我认为如果我说的话不要胡说八道:任何人都可以利用它来篡夺证书并控制SSL / TLS传输?好的 ? ...
我不知道,抱歉我的英语不好,如果我的问题在其他方面很愚蠢。
我努力学习,我吃 Arch Wiki。
- 瑞克。
解决方法
urllib3 默认情况下会验证 TLS 证书,但这是特定版本和 urllib3 设置的错误(影响了 arch 中可用的版本)。如果您check arch's bugtracker,you'll find the CVE in question。
1.26.4 之前的 urllib3 库 1.26.x for Python 在某些涉及 HTTPS 到 HTTPS 代理的情况下省略了 SSL 证书验证。到 HTTPS 代理的初始连接(如果未通过 proxy_config 提供 SSLContext)不会验证证书的主机名。这意味着仍然使用默认 urllib3 SSLContext 正确验证的不同服务器的证书将被静默接受。
您可以升级到 1.26.4 或得出结论认为这种情况不会影响您(或您的应用程序)使用 urllib3 的方式。如果您没有使用 HTTPS 代理,这似乎不会影响您,但请阅读 CVE 并针对您自己的用例做出决定。
这里没有任何内容让我相信这会导致任何形式的妥协,除非您正在做一些奇怪的事情(例如根据特定主机的 SSL 证书验证远程代码以在本地运行)。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
