FreeBSD: Django -- パスワードハッシュの漏洩 (004d8c23-c710-11e8-98c7-000c29434208)
medium Nessus プラグイン ID 117910
Language:
概要
リモートの FreeBSD ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。説明
Djangoリリースノート:CVE-2018-16984: 「表示専用」管理者ユーザーに対するパスワードハッシュ漏洩
管理者ユーザーにユーザーモデルに対する変更権限がある場合、パスワードハッシュの一部のみが変更フォームに表示されます。ユーザーモデルに対する表示権限 (変更ではない) がある管理者ユーザーには、ハッシュ全体が表示されました。通常、強力なパスワードハッシュを元に戻すことは不可能ですが、サイトでMD5やSHA1などの弱いパスワードハッシュアルゴリズムを使用している場合は、問題となる可能性があります。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 117910
ファイル名: freebsd_pkg_004d8c23c71011e898c7000c29434208.nasl
バージョン: 1.4
タイプ: local
公開日: 2018/10/4
更新日: 2022/2/17
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 4
現状値: 3
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N
CVSS スコアのソース: CVE-2018-16984
CVSS v3
リスクファクター: Medium
基本値: 4.9
現状値: 4.3
ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:py34-django21, p-cpe:/a:freebsd:freebsd:py35-django21, p-cpe:/a:freebsd:freebsd:py36-django21, p-cpe:/a:freebsd:freebsd:py37-django21, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2018/10/3
脆弱性公開日: 2018/10/2
参照情報
CVE: CVE-2018-16984