aiohttp < 3.9.2 路径遍历漏洞-低调大师

aiohttp < 3.9.2 路径遍历漏洞

2024-02-27 377

漏洞描述

aiohttp是一个开源的用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。

当使用 aiohttp 作为Web服务器并设置静态路由时，若 follow_symlinks 选项设为True，则不会验证指定文件路径是否位于根目录内。攻击者可以通过构造恶意的请求，访问服务器任意文件。

https://github.com/ray-project/ray（ray dashboard）等多个项目中并未正确配置该参数，也会受到漏洞影响。

漏洞名称	aiohttp < 3.9.2 路径遍历漏洞
漏洞类型	路径遍历
发现时间	2024-01-30
漏洞影响广度	广
MPS编号	MPS-rxvm-9042
CVE编号	CVE-2024-23334
CNVD编号	-

影响范围

aiohttp@[1.0.5, 3.9.2)

python-aiohttp@影响所有版本

aiohttp@[1.0.5, 3.9.2)

修复方案

将 aiohttp 升级至 3.9.2 及以上版本

如果应用程序的静态资源服务不需要符号链接功能，将follow_symlinks设置为False

参考链接

https://www.oscs1024.com/hd/MPS-rxvm-9042

https://nvd.nist.gov/vuln/detail/CVE-2024-23334

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/280528

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

墨干理工套件 V1.2.5 LTS 发布了

墨干理工套件V1.2.5LTS本次更新主要是修复既有错误、改进用户体验。注意：一个重大的变更是默认开启了实验选项DO NOT use UTF-8 for CJK in TM format，保持和GNU TeXmacs 2.1.2的兼容性。之前在墨干V1.1.x使用了TM格式中显示中文特性的用户，可以关闭这个选项以正确加载墨干V1.1.x生成的可以在纯文本编辑器中正常显示中文的文档。v1.1.x的在tm文档中显示中文的特性可能会带来一些严重的兼容性问题，故而不建议用户使用可以在纯文本编辑器中正常显示中文的TM文档。从墨干V1.2.6开始，我们会实验性地支持TMU格式以UTF-8编码显示中文。TMU格式经过多个版本迭代，最终才会对所有用户开放。墨干理工套件 V1.2.5 LTS 包含以下组件：墨干V1.2.5LTS (Mogan Research v1.2.5 LTS) 墨干 V1.2.5 LTS 这个版本标志着墨干作为GNU TeXmacs的一个发行版，基本完成了从Qt 4到Qt 6的升级，从GNU Guile 1.8到S7 Scheme的执行引擎切换，从Autotools到xma...

2024-02-27

369

2022年底团队决定以全新的产品运营和设计思路重回电子签章行业，重新做电子签章产品。至于当时如何离开电子签章，又是如何回来的，具体原因等后面再叙。在这么多年的创业的过程中，我们团队经历了从迷茫无助到方向坚定（我们认为的），从一点点构建基础技术架构到基本成熟，有太多的不容易，每一个不容易都可以是个故事，具体的也在将来一一再叙，这次单说最近的一些工作感受和工作概况。经过努力，23年底（12月15日）产品上线后，我们深知自己在市场竞争中与头部企业仍存在功能层面的差距，不敢妄想有什么好的反馈和成果。但是首月便迎来了付费用户（企业版）和近百个开源用户，这完全出乎我和同事的意料。刚开始我们以为这些用户至少要在3-5个月内才能积累到。事实证明我们错了，我们保守了，但是方向貌似对了（还需要更多的付出和积累）。在与客户沟通过程中，很快就收集到首批客户集中提出的众多需求，主要体现在移动端签署、API集成、国产化及优化交互体验四大方面。也有很多我们在设计过程中没有考虑到的，没有考虑到的方面对我们来说尤其珍贵，价值巨大。所以我们在年前加快工作节奏，年后规划新年一季度目标。首要任务是移动端开发，并承诺于春节...

2024-02-27

335

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。