偵測

SUSE SLED12 安全性更新:python-tornado (SUSE-SU-2016:1195-1)

medium Nessus Plugin ID 90883

語系:

概要

遠端 SUSE 主機缺少一個或多個安全性更新。

說明

python-tornado 模組已更新至 4.2.1 版,帶來了數個修正、增強功能和新功能。

下列安全性問題已修正:

- StaticFileHandler 中的一個路徑遊走弱點,在此情況下,可以存取名稱以 static_path 目錄開頭,但實際並不在該目錄中的檔案。

- 現在,每個要求上的 XSRF token 皆以隨機遮罩來編碼。如此即可安全地包含在壓縮頁面中,而不容易受到 BREACH 攻擊影響。
 這適用於大多數使用 xsrf_cookies 和 gzip 選項 (或透過 Proxy 套用 gzip) 的應用程式。(bsc#930362、CVE-2014-9720)

- RequestHandler.{g,s}et_secure_cookie 所用有正負號的值格式變得更加安全。(bsc#930361)

已實作下列增強功能:

- 現在,SSLIOStream.connect 和 IOStream.start_tls 預設會驗證憑證。

- 憑證驗證現在將使用系統 CA root 憑證。

- 預設 SSL 組態已變得更加嚴格,在用戶端提供時使用 ssl.create_default_context ()。

- 已移除 tornado.auth 模組中過時的類別 GoogleMixin、FacebookMixin 和 FriendFeedMixin。

- 已新增模組:tornado.locks 和 tornado.queues。

- tornado.websocket 模組現在可透過「permessage-deflate」延伸模組支援壓縮。

- 當在 Python 2 上執行時,Tornado 現在取決於 backports.ssl_match_hostname。

如需完整的變更清單,請參閱版本資訊:

- http://www.tornadoweb.org/en/stable/releases/v4.2.0.html

- http://www.tornadoweb.org/en/stable/releases/v4.1.0.html

- http://www.tornadoweb.org/en/stable/releases/v4.0.0.html

- http://www.tornadoweb.org/en/stable/releases/v3.2.0.html

請注意,Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

若要安裝此 SUSE 安全性更新,請使用 YaST online_update。
或者,也可以執行針對您的產品所列的命令:

SUSE Linux Enterprise Workstation Extension 12-SP1:

zypper in -t patch SUSE-SLE-WE-12-SP1-2016-589=1

SUSE Linux Enterprise Workstation Extension 12:

zypper in -t patch SUSE-SLE-WE-12-2016-589=1

SUSE Linux Enterprise Desktop 12-SP1:

zypper in -t patch SUSE-SLE-DESKTOP-12-SP1-2016-589=1

SUSE Linux Enterprise Desktop 12:

zypper in -t patch SUSE-SLE-DESKTOP-12-2016-589=1

若要使您的系統保持在最新狀態,請使用「zypper 修補程式」。

另請參閱

http://www.tornadoweb.org/en/stable/releases/v3.2.0.html

http://www.tornadoweb.org/en/stable/releases/v4.0.0.html

http://www.tornadoweb.org/en/stable/releases/v4.1.0.html

http://www.tornadoweb.org/en/stable/releases/v4.2.0.html

https://bugzilla.suse.com/show_bug.cgi?id=930361

https://bugzilla.suse.com/show_bug.cgi?id=930362

https://bugzilla.suse.com/show_bug.cgi?id=974657

https://www.suse.com/security/cve/CVE-2014-9720/

http://www.nessus.org/u?4b05bcc2

Plugin 詳細資訊

嚴重性: Medium

ID: 90883

檔案名稱: suse_SU-2016-1195-1.nasl

版本: 2.9

類型: local

代理程式: unix

已發布: 2016/5/4

已更新: 2021/1/6

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS v3

風險因素: Medium

基本分數: 6.5

時間分數: 5.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:novell:suse_linux:python-tornado, cpe:/o:novell:suse_linux:12

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2016/5/2

弱點發布日期: 2020/1/24

參考資訊

CVE: CVE-2014-9720