openSUSE 安全性更新:python-django (openSUSE-SU-2014:1132-1)
critical Nessus Plugin ID 77718
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
Python Django 已更新,修正了多個安全性問題和錯誤。openSUSE 12.3 上 1.4.15 版的更新:
+ 防止 reverse() 產生指向其他主機的 URL,可避免網路釣魚攻擊 (bnc#893087、CVE-2014-0480)
+ 將上傳重複檔案名稱時的 O(n) 演算法移除,可修正檔案上傳拒絕服務 (bnc#893088、CVE-2014-0481)
+ 將 RemoteUserMiddleware 修改為 REMOTE_USE 變更時即登出,防止工作階段劫持攻擊 (bnc#893089、CVE-2014-0482)
+ 防止透過查詢字串操控而導致 contrib.admin 中的資料洩漏 (bnc#893090、CVE-2014-0483)
+ 修正:可能不正確地允許快取儲存和提供私人資料 (bnc#877993、CVE-2014-1418)
+ 修正:未正確驗證使用者輸入的格式錯誤重新導向 URL (bnc#878641、CVE-2014-3730)
+ 修正因類型選擇而可能使 MySQL 傳回非預期結果的查詢 (bnc#874956、CVE-2014-0474)
+ 防止透過快取而洩漏 CSRF token (bnc#874955、CVE-2014-0473)
+ 修正 URL 回復中的一個遠端程式碼執行弱點 (bnc#874950、CVE-2014-0472)
openSUSE 13.1 上 1.5.10 版的更新:
+ 防止 reverse() 產生指向其他主機的 URL,可避免網路釣魚攻擊 (bnc#893087、CVE-2014-0480)
+ 將上傳重複檔案名稱時的 O(n) 演算法移除,可修正檔案上傳拒絕服務 (bnc#893088、CVE-2014-0481)
+ 將 RemoteUserMiddleware 修改為 REMOTE_USE 變更時即登出,防止工作階段劫持攻擊 (bnc#893089、CVE-2014-0482)
+ 防止透過查詢字串操控而導致 contrib.admin 中的資料洩漏 (bnc#893090、CVE-2014-0483)
- 1.5.8 版本的更新:
+ 修正:可能不正確地允許快取儲存和提供私人資料 (bnc#877993、CVE-2014-1418)
+ 修正:未正確驗證使用者輸入的格式錯誤重新導向 URL (bnc#878641、CVE-2014-3730)
+ 修正因類型選擇而可能使 MySQL 傳回非預期結果的查詢 (bnc#874956、CVE-2014-0474)
+ 防止透過快取而洩漏 CSRF token (bnc#874955、CVE-2014-0473)
+ 修正 URL 回復中的一個遠端程式碼執行弱點 (bnc#874950、CVE-2014-0472)
解決方案
更新受影響的 python-django 套件。另請參閱
https://bugzilla.novell.com/show_bug.cgi?id=874950
https://bugzilla.novell.com/show_bug.cgi?id=874955
https://bugzilla.novell.com/show_bug.cgi?id=874956
https://bugzilla.novell.com/show_bug.cgi?id=877993
https://bugzilla.novell.com/show_bug.cgi?id=878641
https://bugzilla.novell.com/show_bug.cgi?id=893087
https://bugzilla.novell.com/show_bug.cgi?id=893088
https://bugzilla.novell.com/show_bug.cgi?id=893089
https://bugzilla.novell.com/show_bug.cgi?id=893090
https://lists.opensuse.org/opensuse-updates/2014-09/msg00023.html
Plugin 詳細資訊
嚴重性: Critical
ID: 77718
檔案名稱: openSUSE-2014-542.nasl
版本: 1.5
類型: local
代理程式: unix
已發布: 2014/9/17
已更新: 2021/1/19
支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.0
CVSS v2
風險因素: Critical
基本分數: 10
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:novell:opensuse:python-django, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list
修補程式發佈日期: 2014/9/8
參考資訊
CVE: CVE-2014-0472, CVE-2014-0473, CVE-2014-0474, CVE-2014-0480, CVE-2014-0481, CVE-2014-0482, CVE-2014-0483, CVE-2014-1418, CVE-2014-3730