JVNDB-2024-029795 | |
Debian等の複数ベンダの製品における領域間での誤ったリソース移動に関する脆弱性 | |
| 概要 | |
urllib3はPython向けの使いやすいHTTPクライアントライブラリです。urllib3のプロキシサポートである「ProxyManager」を使用した場合、「Proxy-Authorization」ヘッダーは適切に設定したプロキシにのみ送信されます。一方、urllib3のプロキシサポートを利用せずにHTTPリクエストを送信したとき、フォワーディングプロキシやトンネリングプロキシを使用していなくても、誤って「Proxy-Authorization」ヘッダーを設定してしまう可能性があります。この場合、urllib3は「Proxy-Authorization」ヘッダーを認証情報を含むものとして扱わず、クロスオリジンリダイレクト時にこのヘッダーを削除しません。この脆弱性が実際に発現するケースは非常に稀ですが、ほとんどのユーザーにとって深刻度は低いと考えられます。そのため、より安全性を高める目的で、urllib3はクロスオリジンリダイレクト時に「Proxy-Authorization」ヘッダーを自動的に削除するようになりました。「Proxy-Authorization」ヘッダーを安全に処理したい場合は、urllib3のプロキシサポートを使用するか、自動リダイレクトを無効にすることを推奨します。ただし、正しくない方法でヘッダーを使うユーザーをさらに保護するため、デフォルトでこのヘッダーを削除するという判断になりました。本アドバイザリによる影響を受ける利用例は少数にとどまると考えられます。この脆弱性を悪用するには、次のすべての条件が必要です。1. urllib3の組み込みプロキシサポートを使わずに「Proxy-Authorization」ヘッダーを設定する。2. HTTPリダイレクトを無効化しない。3. HTTPSオリジンサーバを利用しない、またはプロキシやターゲットオリジンが悪意あるオリジンへリダイレクトする。対策として、ユーザーはバージョン1.26.19または2.2.2へアップデートしてください。アップグレードできない場合は、urllib3の「ProxyManager」で「Proxy-Authorization」ヘッダーを利用するか、HTTPリダイレクトをリクエスト送信時に「redirects=False」として無効にする、または「Proxy-Authorization」ヘッダー自体を使用しないことでこの問題を緩和できます。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 6.5 (警告) [NVD値]
| |
| 影響を受けるシステム | |
|
| |
Debian | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
Debian | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2024/06/17 |
| 登録日 | 2026/01/08 |
| 最終更新日 | 2026/01/08 |
