您好,我的arch-audit返回中有一条消息:“python-urllib3受证书验证绕过的影响。高风险!”
有什么意义?'python-urllib3' 的代码有安全漏洞吗?要不然 ?因为如果我理解得很好......它是代码的一部分,或者这个库无法很好地检查非对称加密通信的认证?所以我想到了反向shell和很多可能的攻击,这很危险,如果我说的话,我想不要胡说八道:任何人都可以利用它来篡夺证书并控制SSL/TLS传输?好的 ?...
我不知道,对不起我的英语不好,如果我的问题在另一面看起来很愚蠢。
我尝试学习,我吃 Arch Wiki。
urllib3默认情况下会验证 TLS 证书,但这是特定版本和 urllib3 设置的错误(这会影响 arch 中可用的版本)。如果您检查 arch 的 bugtracker,您会发现有问题的 CVE。
Python 1.26.4 之前的 urllib3 库 1.26.x 在某些涉及 HTTPS 到 HTTPS 代理的情况下省略了 SSL 证书验证。与 HTTPS 代理的初始连接(如果未通过 proxy_config 提供 SSLContext)不会验证证书的主机名。这意味着仍然使用默认 urllib3 SSLContext 正确验证的不同服务器的证书将被静默接受。
您可以升级到1.26.4或断定这种情况不会影响您(或您的应用程序)使用 urllib3 的方式。如果您没有使用 HTTPS 代理,这似乎不会影响您,但请阅读 CVE 并为您自己的用例做出决定。
这里没有任何东西让我相信这会导致任何形式的妥协,除非你在做奇怪的事情(比如根据特定主机的 SSL 证书验证远程代码在本地运行)。