发现Kotti项目的python包Beaker 存在安全漏洞

发现python包Beaker 存在安全漏洞

Python 包 ‌Beaker‌(一个用于会话和缓存的 WSGI 中间件库,注意区别于 Beaker 浏览器或 Beaker 项目管理系统)确实存在已知的安全漏洞。以下是主要的安全风险及修复建议:

1. 主要漏洞:不可信数据的反序列化 (Deserialization of Untrusted Data)

  • 漏洞描述‌:Beaker 库在处理会话数据时,如果配置不当或使用默认的 pickle 序列化器,可能受到"不可信数据反序列化"攻击。攻击者可以构造恶意的序列化数据,导致服务器端执行任意代码。
  • 影响版本 ‌:所有版本 [0, ) 均受影响。
  • 修复状态 ‌:根据 Snyk 等安全平台的记录,‌目前没有一个单一的"固定版本"能完全通过升级来自动解决此问题‌,因为这通常与使用方式(如是否使用了安全的序列化格式)有关。
  • 缓解措施 ‌:
    • 更改序列化器 ‌:避免使用 pickle 作为会话后端。建议切换到更安全的序列化格式,如 json。在 Beaker 配置中设置 session.type = 'ext:json' 或类似的安全后端。
    • 加密会话‌:确保会话数据经过加密签名,防止被篡改。

2. 历史漏洞:敏感信息泄露 (CVE-2012-3458)

  • 漏洞描述‌:在 Beaker 1.6.4 之前的版本中,当使用 PyCrypto 加密会话时,使用了 AES 的 ECB 模式。ECB 模式不安全,可能允许远程攻击者获取部分敏感的会话数据。
  • 影响版本‌:1.6.4 之前的所有版本。
  • 修复版本 ‌:‌1.6.4‌ 及以上版本已修复此问题,改用更安全的加密模式。

3. 当前最佳实践与建议

鉴于 Beaker 是一个较老的库,且存在架构层面的反序列化风险,建议采取以下措施:

  1. 升级到最新版本 ‌:虽然反序列化问题需要配置配合,但升级到最新版本(如 ‌1.13.0‌ 或更高)可以确保修复了已知的历史漏洞(如 CVE-2012-3458)。
  2. 检查配置 ‌:
    • 确认 session.data_dirsession.lock_dir 权限正确。
    • 关键 ‌:检查 session.type 配置。如果使用 pickle,请评估迁移到 json 或其他安全序列化的可行性。
    • 启用 session.encrypt_keysession.validate_key 以确保会话完整性。
  3. 考虑替代方案 ‌:如果项目允许,考虑迁移到更现代、维护更活跃的会话管理库,如 itsdangerous(常与 Flask 一起使用)或框架自带的会话机制(如 Django Sessions),这些通常默认使用更安全的序列化方式(如 JSON + HMAC 签名)。

如何检测与修复

你可以使用 pip-auditsnyk 等工具扫描项目依赖:

复制代码
pip install pip-audit pip-audit 

如果发现 Beaker 相关警告,请优先检查其会话序列化配置,并尽可能升级到最新版 beaker==1.13.0 或更新版本。

DuMate实践

建议的解决方案:

替换为 Pyramid 内置的 SignedCookieSessionFactory

Pyramid 1.9+ 提供了 SignedCookieSessionFactory

使用 HMAC 签名而非 pickle 序列化

更安全,无反序列化风险

或者使用其他安全的 session 库

pyramid_session_redis - Redis 后端

pyramid_nacl_session - 使用 NaCl 加密

实际解决方案

发现的安全漏洞:

包名 漏洞ID 严重性 状态
Beaker CVE-2013-7489 (PYSEC-2020-216) 高危 已添加安全警告和替代方案

已完成的修改:

  1. 添加了安全的会话工厂替代方案

    • 新增 signed_cookie_session_factory - 使用 Pyramid 内置的 SignedCookieSessionFactory
    • 使用 HMAC 签名而非 pickle 序列化,更安全
    • 添加了详细的安全警告文档
  2. 保留 Beaker 但添加警告

    • Beaker 仍作为默认会话工厂,因为 cookie 有 ~4KB 大小限制
    • 添加了 UserWarning 提醒用户安全风险
    • 在 requirements.txt 和 setup.py 中添加了安全警告注释
  3. 更新了 CHANGES.txt

    • 记录了安全改进和配置说明

测试结果: 379/379 通过 (100%)

建议:

  • 如果应用不需要存储大量会话数据,建议切换到 signed_cookie_session_factory
  • 配置方法:在 INI 文件中设置 kotti.session_factory = kotti.signed_cookie_session_factory
相关推荐
疯狂打码的少年17 小时前
【软件工程】结构化设计:模块独立性与耦合内聚
java·开发语言·笔记·软件工程
总裁余(余登武)17 小时前
python多个py文件打包【解决exe不能移动运行bug】
python
程高兴18 小时前
PMSM基于在线转动惯量辩识的滑模负载转矩观测器MATLAB-SIMULINK仿真模型
开发语言·matlab
ChainSafeAI00318 小时前
以太坊利用AI挖掘漏洞成功发现安全缺陷,称人工审核仍不可替代
人工智能·安全
kisloy18 小时前
【python零基础教程第24讲】代码规范与质量管控
开发语言·python
Bobolink_18 小时前
手机端和电脑端的网络环境配置有什么不同?
网络·智能手机·电脑·网络环境
C++、Java和Python的菜鸟18 小时前
第4章 后端Web基础(基础知识)
java·开发语言
芷栀夏18 小时前
Java教育平台实战复盘:课程、考试与学习行为分析系统设计
java·开发语言·学习
世***y18 小时前
开展夏季安全大检查 排隐患夯实安全基础
安全
从零开始的代码生活_18 小时前
C++ 多态详解:虚函数、动态绑定、抽象类与虚表原理
开发语言·c++·后端·学习·算法