FreeBSD:Jupyter notebook -- クロスサイトインクルージョン(XSSI)の脆弱性(72a6e3be-483a-11e9-92d7-f1590402501e)
high Nessus プラグイン ID 122885
Language:
概要
リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。説明
Jupyter notebookの変更ログ:5.7.6には、クロスサイトインクルージョン(XSSI)の脆弱性に対するセキュリティ修正が含まれており、ユーザーがJupyterサーバーにログインすると、認証されていないWebサイトのページに既知のURLのファイルが含まれる可能性があります。この修正には、X-Content-Type-Options: nosniffヘッダーの設定、および以前はすべての非GET APIリクエストに対してなされていたCSRFチェックを、APIエンドポイントおよび/files/エンドポイントへのGETリクエストに適用することが含まれています。
攻撃者のページは、Internet Explorerを使用するときにスクリプトエラーを通じてファイルの一部のコンテンツにアクセスできますが、これは他のブラウザでは実証されていません。この脆弱性に対してCVEがリクエストされました。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?1ee366c1
http://www.nessus.org/u?fc188a9c
http://www.nessus.org/u?e116cf63
http://www.nessus.org/u?39988fba
http://www.nessus.org/u?50d03d73
http://www.nessus.org/u?dc4b5e69
http://www.nessus.org/u?d52aebfd
http://www.nessus.org/u?819250a8
http://www.nessus.org/u?a9601f46
プラグインの詳細
深刻度: High
ID: 122885
ファイル名: freebsd_pkg_72a6e3be483a11e992d7f1590402501e.nasl
バージョン: 1.1
タイプ: local
公開日: 2019/3/18
更新日: 2019/3/18
サポートされているセンサー: Nessus
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:py27-notebook, p-cpe:/a:freebsd:freebsd:py35-notebook, p-cpe:/a:freebsd:freebsd:py36-notebook, p-cpe:/a:freebsd:freebsd:py37-notebook, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2019/3/16
脆弱性公開日: 2019/3/10