openSUSE 安全性更新:python-Django (openSUSE-2015-677)
high Nessus Plugin ID 86594
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
Python-django 已更新,可修正兩個安全性問題。已修正這些安全性問題:
- CVE-2015-5144:1.4.21 版之前、1.5.x 到 1.7.9 之前的 1.6.x、1.7.x 版,以及 1.8.3 之前的 1.8.x 版 Django 使用了不正確的規則運算式,這會讓遠端攻擊者插入任意標頭,並透過在以下地方加入的新行字元,發動 HTTP 回應分割攻擊:(1) 傳送至 EmailValidator 的訊息;(2) 傳送至 URLValidator 的 URL;(3) 傳送至 validate_ipv4_address 的未知向量;或 (4) 傳送至 validate_slug 驗證器的未知向量 (bsc#937523)。
- CVE-2015-5143:1.4.21 版之前、1.5.x 版至 1.6.x 版、1.7.9 版之前的 1.7.x 版,以及 1.8.3 之前的 1.8.x 版 Django 工作階段後端會讓遠端攻擊者透過含有唯一工作階段金鑰的多重要求,引發拒絕服務 (工作階段儲存區消耗) (bsc#937522)。
解決方案
更新受影響的 python-Django 套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 86594
檔案名稱: openSUSE-2015-677.nasl
版本: 2.3
類型: local
代理程式: unix
已發布: 2015/10/26
已更新: 2021/1/19
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: High
基本分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
弱點資訊
CPE: p-cpe:/a:novell:opensuse:python-django, cpe:/o:novell:opensuse:13.2
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list
修補程式發佈日期: 2015/10/15
參考資訊
CVE: CVE-2015-5143, CVE-2015-5144