python · tornadoAtenção
tornado: vazamento de credenciais TLS e proxy no CurlAsyncHTTPClient
CurlAsyncHTTPClient reutiliza handles pycurl sem redefinir opções por requisição, fazendo com que certificados TLS do cliente (SSLCERT/SSLKEY) e credenciais de
O que mudou
CurlAsyncHTTPClient reutiliza handles pycurl sem redefinir opções por requisição, fazendo com que certificados TLS do cliente (SSLCERT/SSLKEY) e credenciais de proxy (PROXYUSERPWD) vazem entre requisições.
Quem isso afeta
Aplicações que usam CurlAsyncHTTPClient com client_cert/client_key ou proxy_username/proxy_password por requisição em uma instância de cliente compartilhada.
O que fazer hoje
Atualize para uma versão corrigida assim que disponível, ou chame curl.reset() manualmente antes de cada requisição em _curl_setup_request.
A esteira
Coletado→
Auditado→
Redigido→
Publicado