Flask 0.12.2版本包含安全漏洞，請考慮升級！

來自專欄 Hello, Flask!14 人贊了文章

漏洞描述

這個漏洞（CVE-2018-1000656）四天前（8月20號）被發布在NVD（National Vulnerability Database，國家漏洞資料庫）上，漏洞描述如下：

The Pallets Project flask version Before 0.12.3 contains a CWE-20: Improper Input Validation vulnerability in flask that can result in Large amount of memory usage possibly leading to denial of service. This attack appear to be exploitable via Attacker provides JSON data in incorrect encoding. This vulnerability appears to have been fixed in 0.12.3.

大致的翻譯如下：

Pallets項目組開發的Flask 0.12.3及以下版本包含CWE-20類型的漏洞：不合適的輸入驗證漏洞。這個漏洞將會導致大量內存佔用，可能會導致拒絕服務。攻擊者可以通過提供使用了錯誤編碼的JSON數據來進行攻擊。這個漏洞已經在0.12.3版本中修復（#2691）。

應對措施

對於這個漏洞，你可以通過升級來進行防範。如果你打算使用最新版本（Flask 1.0.2），可以使用下面的命令更新（參見這篇文章了解Flask 1.0版本包含哪些主要變化）：

$ pip install -U flask

如果你使用Pipenv，則可以使用下面的命令：

$ pipenv update flask

如果你還沒有準備好使用最新版本，可以升級到0.12.3版本：

$ pip install flask==0.12.3

然後更新requirements.txt：

flask ~> 0.12.3

如果使用Pipenv，則使用下面的命令：

$ pipenv install flask==0.12.3

附註

• NVD是美國政府收集網路安全漏洞的網站，詳情見National Vulnerability Database；
• CWE（Common Weakness Enumeration，常見缺陷枚舉）是漏洞分類標準，由美國非營利組織MITRE維護，詳情見Common Weakness Enumeration。
• CVE（The Common Vulnerabilities and Exposures，一般漏洞及暴露）是一個漏洞資料庫，由美國非營利組織MITRE維護，詳情見Common Vulnerabilities and Exposures (CVE)。

推薦閱讀：