Mandriva Linux 安全性公告:python-requests (MDVSA-2015:133)

medium Nessus Plugin ID 82386

語系:

Synopsis

遠端 Mandriva Linux 主機缺少一或多個安全性更新。

描述

更新版 python-requests 套件可修正安全性弱點:

在 Python-requests 中發現一個弱點,如果使用者將密碼儲存在 ~/.netrc 檔案中,該弱點會讓攻擊者透過重新導向要求從 ~/.netrc 檔案擷取密碼 (CVE-2014-1829)。

據發現,發生重新導向時,python-requests Proxy-Authorization 標頭始終未進行重新評估。重新導向後,系統會將 Proxy-Authorization 標頭傳送至任何新的 proxy 或非 proxy 目的地 (CVE-2014-1830)。

在 2.6.0 版之前的 python-requests 中,未設定主機值的 cookie 會使用重新導向 URL 的主機名稱,如此一來要求的使用者便容易遭受工作階段固定攻擊,且可能發生 cookie 竊取問題 (CVE-2015-2296)。

解決方案

更新受影響的 python-requests 和/或 python3-requests 套件。

另請參閱

http://advisories.mageia.org/MGASA-2014-0409.html

http://advisories.mageia.org/MGASA-2015-0120.html

Plugin 詳細資訊

嚴重性: Medium

ID: 82386

檔案名稱: mandriva_MDVSA-2015-133.nasl

版本: 1.4

類型: local

已發布: 2015/3/30

已更新: 2021/1/14

風險資訊

VPR

風險因素: Medium

分數: 4.7

CVSS v2

風險因素: Medium

基本分數: 6.8

媒介: AV:N/AC:M/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:mandriva:linux:python-requests, p-cpe:/a:mandriva:linux:python3-requests, cpe:/o:mandriva:business_server:2

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

修補程式發佈日期: 2015/3/29

參考資訊

CVE: CVE-2014-1829, CVE-2014-1830, CVE-2015-2296

MDVSA: 2015:133