openSUSEセキュリティ更新プログラム：python3-Django（openSUSE-2018-318）

critical Nessus プラグイン ID 108641

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このpython-Djangoのバージョン1.18.18への更新では、複数の問題が修正されます。修正されたセキュリティ問題：

- CVE-2018-7537：django.utils.text.Truncatorでの壊滅的なバックトラッキングを修正しました。（bsc#1083305）

- CVE-2018-7536：urlizeおよびurlizetruncテンプレートフィルターでの壊滅的なバックトラッキングを修正しました（bsc#1083304）。

- CVE-2016-7401：Googleアナリティクスを使用したサイトでのCSRF保護バイパス（bsc#1001374）。

- CVE-2016-2513：パスワードハッシャーワークファクターアップグレード時の時間差を介したユーザー列挙（bsc#968000）。

- CVE-2016-2512：基本認証を含むユーザー指定のリダイレクトURLを介した悪意のあるリダイレクトと潜在的なXSS攻撃を修正しました（bsc#967999）。

- CVE-2016-9013：Oracle上でテストを実行したときに作成されるハードコードされたパスワードを持つユーザー（bsc#1008050）。

- CVE-2016-9014：DEBUG=Trueの場合のDNSリバインドの脆弱性（bsc#1008047）。

- CVE-2017-7234：django.views.static.serve()のオープンリダイレクトの脆弱性（bsc#1031451）。

- CVE-2017-7233：ユーザーが提供した数字からなるリダイレクトURLを介したオープンリダイレクトとXSS攻撃の可能性（bsc#1031450）

- CVE-2017-12794：テクニカル500デバッグページのトレースバックセクションにおけるXSSの可能性を修正しました（bsc#1056284）