Debian DLA-301-1:python-django 安全性更新
medium Nessus Plugin ID 85656
語系:
概要
遠端 Debian 主機缺少一個安全性更新。說明
透過填滿工作階段儲存區而在 logout() 檢視中造成拒絕服務的可能性先前,匿名存取 django.contrib.auth.views.logout 檢視表時可建立工作階段 (前提是該檢視表未像管理員介面一樣以 django.contrib.auth.decorators.login_required 裝飾)。這可能會允許攻擊者藉由傳送重複的要求,輕易地建立許多新工作階段記錄,可能進而填滿工作階段儲存區,或是導致其他使用者的工作階段記錄遭收回。
django.contrib.sessions.middleware.SessionMiddleware 已修改,不會再建立空工作階段記錄。
已為此部分修正指派了 CVE-2015-5963。
此外,contrib.sessions.backends.base.SessionBase.flush() 與 cache_db.SessionStore.flush() 方法已修改,可避免建立新的空工作階段。第三方工作階段後端的維護者應檢查其後端是否存在相同弱點,若存在則應加以修正。
已為此部分修正指派了 CVE-2015-5964。
建議您升級 python-django 套件。
注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
升級受影響的 python-django 和 python-django-doc 套件。另請參閱
https://lists.debian.org/debian-lts-announce/2015/08/msg00016.html
https://packages.debian.org/source/squeeze-lts/python-django
Plugin 詳細資訊
嚴重性: Medium
ID: 85656
檔案名稱: debian_DLA-301.nasl
版本: 2.5
類型: local
代理程式: unix
已發布: 2015/8/27
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:python-django, p-cpe:/a:debian:debian_linux:python-django-doc, cpe:/o:debian:debian_linux:6.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2015/8/26
參考資訊
CVE: CVE-2015-5963, CVE-2015-5964