发现Kotti项目的python包Beaker 存在安全漏洞

Python 包 ‌Beaker‌（一个用于会话和缓存的 WSGI 中间件库，注意区别于 Beaker 浏览器或 Beaker 项目管理系统）确实存在已知的安全漏洞。以下是主要的安全风险及修复建议：

‌漏洞描述‌：Beaker 库在处理会话数据时，如果配置不当或使用默认的 pickle 序列化器，可能受到"不可信数据反序列化"攻击。攻击者可以构造恶意的序列化数据，导致服务器端执行任意代码。
‌影响版本 ‌：所有版本 [0, ) 均受影响。
‌修复状态 ‌：根据 Snyk 等安全平台的记录，‌目前没有一个单一的"固定版本"能完全通过升级来自动解决此问题‌，因为这通常与使用方式（如是否使用了安全的序列化格式）有关。
‌缓解措施 ‌：
- ‌更改序列化器 ‌：避免使用 pickle 作为会话后端。建议切换到更安全的序列化格式，如 json。在 Beaker 配置中设置 session.type = 'ext:json' 或类似的安全后端。
- ‌加密会话‌：确保会话数据经过加密签名，防止被篡改。

‌漏洞描述‌：在 Beaker 1.6.4 之前的版本中，当使用 PyCrypto 加密会话时，使用了 AES 的 ECB 模式。ECB 模式不安全，可能允许远程攻击者获取部分敏感的会话数据。
‌影响版本‌：1.6.4 之前的所有版本。
‌修复版本 ‌：‌1.6.4‌ 及以上版本已修复此问题，改用更安全的加密模式。

鉴于 Beaker 是一个较老的库，且存在架构层面的反序列化风险，建议采取以下措施：

‌升级到最新版本 ‌：虽然反序列化问题需要配置配合，但升级到最新版本（如 ‌1.13.0‌ 或更高）可以确保修复了已知的历史漏洞（如 CVE-2012-3458）。
‌检查配置 ‌：
- 确认 session.data_dir 和 session.lock_dir 权限正确。
- ‌关键 ‌：检查 session.type 配置。如果使用 pickle，请评估迁移到 json 或其他安全序列化的可行性。
- 启用 session.encrypt_key 和 session.validate_key 以确保会话完整性。
‌考虑替代方案 ‌：如果项目允许，考虑迁移到更现代、维护更活跃的会话管理库，如 itsdangerous（常与 Flask 一起使用）或框架自带的会话机制（如 Django Sessions），这些通常默认使用更安全的序列化方式（如 JSON + HMAC 签名）。

你可以使用 pip-audit 或 snyk 等工具扫描项目依赖：

复制代码

pip install pip-audit pip-audit

如果发现 Beaker 相关警告，请优先检查其会话序列化配置，并尽可能升级到最新版 beaker==1.13.0 或更新版本。

替换为 Pyramid 内置的 SignedCookieSessionFactory

Pyramid 1.9+ 提供了 SignedCookieSessionFactory

使用 HMAC 签名而非 pickle 序列化

更安全，无反序列化风险

或者使用其他安全的 session 库

pyramid_session_redis - Redis 后端

pyramid_nacl_session - 使用 NaCl 加密

发现的安全漏洞：

包名	漏洞ID	严重性	状态
Beaker	CVE-2013-7489 (PYSEC-2020-216)	高危	已添加安全警告和替代方案

已完成的修改：

添加了安全的会话工厂替代方案
- 新增 signed_cookie_session_factory - 使用 Pyramid 内置的 SignedCookieSessionFactory
- 使用 HMAC 签名而非 pickle 序列化，更安全
- 添加了详细的安全警告文档
保留 Beaker 但添加警告
- Beaker 仍作为默认会话工厂，因为 cookie 有 ~4KB 大小限制
- 添加了 UserWarning 提醒用户安全风险
- 在 requirements.txt 和 setup.py 中添加了安全警告注释
更新了 CHANGES.txt
- 记录了安全改进和配置说明

测试结果： 379/379 通过 (100%)

建议：