Vulnerabilidad en Twisted (CVE-2022-24801)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/04/2022
Última modificación:
25/11/2024
Descripción
Twisted es un marco de trabajo basado en eventos para aplicaciones de Internet, que soporta Python versión 3.6+. versiones hasta 22.4.0rc1, el servidor Twisted Web HTTP 1.1, ubicado en el módulo "twisted.web.http", analizaba varias construcciones de peticiones HTTP de forma más indulgente de lo permitido por el RFC 7230. Este análisis no conforme puede conllevar a una desincronización si las peticiones pasan por varios analizadores HTTP, resultando potencialmente en un contrabando de peticiones HTTP. Los usuarios que pueden verse afectados usan el servidor y/o proxy HTTP versión 1.1 de Twisted Web y también pasan peticiones mediante un servidor y/o proxy HTTP diferente. El cliente de Twisted Web no está afectado. El servidor HTTP versión 2.0 usa un parser diferente, por lo que no está afectado. El problema ha sido abordado en Twisted 22.4.0rc1. Se presentan dos medidas de mitigación disponibles: Asegurarse de que ha sido abordada cualquier vulnerabilidad en los proxies de subida, por ejemplo, actualizándolos; o filtrar las peticiones malformadas por otros medios, como la configuración de un proxy de subida
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:twisted:twisted:*:*:*:*:*:*:*:* | 22.4.0 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:zfs_storage_appliance_kit:8.8:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/twisted/twisted/commit/592217e951363d60e9cd99c5bbfd23d4615043ac
- https://github.com/twisted/twisted/releases/tag/twisted-22.4.0rc1
- https://github.com/twisted/twisted/security/advisories/GHSA-c2jg-hw38-jrqq
- https://lists.debian.org/debian-lts-announce/2022/05/msg00003.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7U6KYDTOLPICAVSR34G2WRYLFBD2YW5K/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GLKHA6WREIVAMBQD7KKWYHPHGGNKMAG6/
- https://www.oracle.com/security-alerts/cpujul2022.html
- https://github.com/twisted/twisted/commit/592217e951363d60e9cd99c5bbfd23d4615043ac
- https://github.com/twisted/twisted/releases/tag/twisted-22.4.0rc1
- https://github.com/twisted/twisted/security/advisories/GHSA-c2jg-hw38-jrqq
- https://lists.debian.org/debian-lts-announce/2022/05/msg00003.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7U6KYDTOLPICAVSR34G2WRYLFBD2YW5K/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GLKHA6WREIVAMBQD7KKWYHPHGGNKMAG6/
- https://www.oracle.com/security-alerts/cpujul2022.html