python urllib3 未加控制的资源消耗（资源穷尽）

CVE编号

CVE-2021-33503

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-06-29

漏洞描述

An issue was discovered in urllib3 before 1.26.5. When provided with a URL containing many @ characters in the authority component, the authority regular expression exhibits catastrophic backtracking, causing a denial of service if a URL were passed as a parameter or redirected to via an HTTP redirect.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/advisories/GHSA-q2q7-5pp4-w6pg
https://github.com/urllib3/urllib3/commit/2d4a3fee6de2fa45eb82169361918f759269b4ec
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://security.gentoo.org/glsa/202107-36
https://www.oracle.com/security-alerts/cpuoct2021.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	python	urllib3	*		Up to (excluding) 1.26.5
	运行在以下环境
	系统	amazon_2	python-urllib3	*		Up to (excluding) 1.25.9-1.amzn2.0.2
	运行在以下环境
	系统	debian_10	python-urllib3	*		Up to (excluding) 1.24.1-1
	运行在以下环境
	系统	debian_11	python-urllib3	*		Up to (excluding) 1.26.4-1
	运行在以下环境
	系统	debian_9	python-urllib3	*		Up to (excluding) 1.19.1-1
	运行在以下环境
	系统	debian_sid	python-urllib3	*		Up to (excluding) 1.26.4-1
	运行在以下环境
	系统	fedora_33	python-urllib3	*		Up to (excluding) 1.25.8-5.fc33
	运行在以下环境
	系统	fedora_34	python-urllib3	*		Up to (excluding) 1.25.10-5.fc34
	运行在以下环境
	系统	opensuse_Leap_15.3	python-urllib3	*		Up to (excluding) 1.25.10-4.3.1
	运行在以下环境
	系统	oracle_8	python-urllib3	*		Up to (excluding) 3.9.6-2.module+el8.5.0+20364+c7fe1181
查看完整数据

阿里云评分 3.6

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 N/A
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 DoS
• 全网数量 N/A

CWE-ID 漏洞类型 CWE-400 未加控制的资源消耗（资源穷尽）