Debian DSA-2634-1:python-django - 數個弱點

medium Nessus Plugin ID 64898
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 Debian 主機缺少安全性更新。

描述

在高階 Python web 開發架構 Django 中發現數個弱點。Common Vulnerabilities and Exposures 專案發現下列問題:

- CVE-2012-4520 James Kettle 發現,處理特定要求時 Django 未正確篩選 HTTP Host 標頭。攻擊者可加以惡意利用,產生並造成部分 Django (尤其是密碼重設機制) 向使用者顯示任意 URL。

- CVE-2013-0305 Orange Tsai 發現,Django 隨附的系統管理介面可透過其歷程記錄洩漏本應隱藏的資訊。

- CVE-2013-0306 Mozilla 發現,攻擊者可濫用 Django 表單集中的表單數量追蹤功能,因過量記憶體消耗而造成拒絕服務攻擊。

- CVE-2013-1665 Michael Koziarski 發現,Django 的 XML 還原序列化作業容易遭受實體擴充和外部實體/DTD 攻擊。

解決方案

升級 python-django 套件。

針對穩定發行版本 (squeeze),這些問題已在 1.2.3-3+squeeze5 版本中修正。

另請參閱

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=701186

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=696535

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=691145

https://security-tracker.debian.org/tracker/CVE-2012-4520

https://security-tracker.debian.org/tracker/CVE-2013-0305

https://security-tracker.debian.org/tracker/CVE-2013-0306

https://security-tracker.debian.org/tracker/CVE-2013-1665

https://packages.debian.org/source/squeeze/python-django

https://www.debian.org/security/2013/dsa-2634

Plugin 詳細資訊

嚴重性: Medium

ID: 64898

檔案名稱: debian_DSA-2634.nasl

版本: 1.9

類型: local

代理程式: unix

已發布: 2013/2/27

已更新: 2021/1/11

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 4.7

CVSS v2

風險因素: Medium

基本分數: 6.4

時間分數: 4.7

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:N

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:python-django, cpe:/o:debian:debian_linux:6.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/2/27

參考資訊

CVE: CVE-2012-4520, CVE-2013-0305, CVE-2013-0306, CVE-2013-1665

BID: 56146, 58022, 58061

DSA: 2634