FreeBSD：django -- 多個弱點 (5f326d75-1db9-11e2-bc8f-d0df9acfd7e5)

medium Nessus Plugin ID 62705

語系：

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

Django 專案報告：

- 主機標頭破壞

Django (獨立於終端使用者撰寫的應用程式) 的某些部分
會使用包含網域名稱的完整 URL，其由 HTTP Host 標頭產生。此類型攻擊有一部分超出 Django 的控制能力範圍，因而需要正確設定 Web 伺服器；Django 的文件會有一段時間持續提供建議使用者設定這些組態的備註資訊。

不過，根據最近向我們報告的資訊顯示，Django 的內建 Host 標頭剖析仍然容易遭受入侵。Django 1.3 和 Django 1.4 中的 Host 標頭剖析 (具體而言是 django.http.HttpRequest.get_host()) 未正確處理標頭中的使用者名稱/密碼資訊。因此，Django 在「validsite.com」上執行時，會接受如下所列的 Host 標頭：

Host: validsite.com:[email protected]

攻擊者可利用此弱點，造成部分 Django (特別是密碼重設機制) 產生並向使用者顯示任意 URL。

為解決此問題，已修改 HttpRequest.get_host() 中的剖析功能；可能含有危險內容的 Host 標頭 (例如：使用者名稱/密碼配對) 現在會提出例外狀況 django.core.exceptions.SuspiciousOperation。

- HttpOnly cookie 選項的文件

自 Django 1.4 版起，將一律以 HttpOnly 旗標傳送工作階段 cookie，其會拒絕用戶端對工作階段 cookie 的指令碼存取，可針對跨網站指令碼攻擊提供一些額外防護。

儘管在 Django 中並非直接視為安全性問題，但據報 Django 1.4 文件卻不正確描述此變更，並宣告其現為以 HttpResponse.set_cookie() 方法設定之所有 cookie 的預設值。

Django 文件已更新為反映此僅適用於工作階段 cookie。建議 Django 使用者檢閱其 set_cookie() 的使用方式，確保 HttpOnly 旗標已正確設定或取消設定。