openSUSE 安全性更新:python-Django (openSUSE-2015-281)
medium Nessus Plugin ID 82515
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
python-django 已更新至 1.6.11,可修正數個安全性問題與非安全性錯誤。下列弱點已修正:
- 使 is_safe_url() 拒絕以控制字元開頭的 URL,以減輕可能透過使用者提供的重新導向 URL 發動的 XSS 攻擊 (bnc#923176、CVE-2015-2317)
- 已修正 strip_tags() 中可能發生的無限迴圈 (bnc#923172、CVE-2015-2316)
- 透過底線/破折號合併發生的 WSGI 標頭偽造 (bnc#913053、CVE-2015-0219)
- 減輕可能透過使用者提供的重新導向 URL 發動的 XSS 攻擊
- 針對 ``django.views.static.serve`` 的拒絕服務攻擊 (bnc#913056、CVE-2015-0221)
- ``ModelMultipleChoiceField`` 資料庫拒絕服務 (bnc#913055、CVE-2015-0222)
更新中也含有非安全性錯誤、功能性和穩定性問題的修正。
解決方案
更新受影響的 python-Django 套件。另請參閱
https://bugzilla.opensuse.org/show_bug.cgi?id=913053
https://bugzilla.opensuse.org/show_bug.cgi?id=913055
https://bugzilla.opensuse.org/show_bug.cgi?id=913056
Plugin 詳細資訊
嚴重性: Medium
ID: 82515
檔案名稱: openSUSE-2015-281.nasl
版本: 1.3
類型: local
代理程式: unix
已發布: 2015/4/2
已更新: 2021/1/19
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.2
CVSS v2
風險因素: Medium
基本分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
弱點資訊
CPE: p-cpe:/a:novell:opensuse:python-django, cpe:/o:novell:opensuse:13.2
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list
修補程式發佈日期: 2015/3/25
參考資訊
CVE: CVE-2015-0219, CVE-2015-0221, CVE-2015-0222, CVE-2015-2316, CVE-2015-2317