openSUSE 15 セキュリティ更新: python-Django (openSUSE-SU-2023:0005-1)

critical Nessus プラグイン ID 169481

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SUSE15ホストには、openSUSE-SU-2023:0005-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

- 2.2.22より前の 2.2、3.1.10 より前の 3.1、3.2.2 より前の 3.2(Python 3.9.5+ 付き) の Django では、URL バリデーターが改行やタブを禁止しません (URLField フォームフィールドが使用されている場合を除く)。アプリケーションが HTTP 応答で改行を含む値を使用すると、ヘッダーインジェクションが発生する可能性があります。HttpResponse が HTTP ヘッダーの改行を禁止しているため、Django 自体は影響を受けません。(CVE-2021-32052)

- 2.2.24より前の Django、3.1.12 より前の 3.x、および 3.2.4より前の 3.2.xには、django.contrib.admindocs を介した潜在的なディレクトリトラバーサルがあります。スタッフが TemplateDetailView ビューを使用して、任意のファイルの存在をチェックする可能性があります。さらに、デフォルトの admindocs テンプレートがアプリケーション開発者によってカスタマイズされ、ファイルの内容も表示した場合、ファイルの存在だけでなく内容も漏洩しました。言いかえれば、テンプレートルートディレクトリの外にディレクトリトラバーサルがあります。 (CVE-2021-33203)

- Django 2.2の 2.2.24より前、3.1.12 より前の 3.x、および 3.2.4より前の 3.2では、URLValidator、validate_ipv4_address、および validate_ipv46_address は、8 進リテラルの先行ゼロを禁止していません。これにより、IP アドレスに基づくアクセスコントロールがバイパスされる可能性があります。 (validate_ipv4_address と validate_ipv46_address は Python 3.9.5+ .. で影響を受けません。) (CVE-2021-33571)

- 2.2.25より前の 2.2、3.1.14より前の 3.1、および 3.2.10より前の 3.2の Django で、末尾に改行がある URL に対する HTTP リクエストが、URL パスに基づいたアップストリームアクセスコントロールをバイパスする可能性があります。(CVE-2021-44420)

- Django 2.2.26以前の 2.2、3.2.11 以前の 3.2、4.0.1 以前の 4.0に問題が発見されました。
UserAttributeSimilarityValidator では、送信されたパスワードを評価する際に、著しいオーバーヘッドが発生しました。このパスワードは比較値との関係で人為的に大きくなっていました。ユーザー登録へのアクセスが制限されていない状況では、サービス拒否攻撃を受ける可能性がありました。(CVE-2021-45115)

- Django 2.2.26以前の 2.2、3.2.11 以前の 3.2、4.0.1 以前の 4.0に問題が発見されました。Django テンプレート言語の変数解決ロジックを利用しているため、dictsort テンプレートフィルターには、適切に細工されたキーを渡された場合に、情報の漏洩や意図しないメソッドの呼び出しが発生する可能性がありました。(CVE-2021-45116)

- Django の 2.2.26以前の 2.2、3.2.11 以前の 3.2、4.0.1 以前の 4.0の Storage.save は、細工したファイル名が直接渡されると、ディレクトリトラバーサルが可能になります。(CVE-2021-45452)

-Django 2.2.27より前の 2.2、3.2.12 より前の 3.2、4.0.2 より前の 4.0の {% debug %} テンプレートタグが、現在のコンテキストを適切にエンコードしません。これは XSS の発生につながる可能性があります。(CVE-2022-22818)

- Django 2.2.27より前の 2.2、3.2.12 より前の 3.2、4.0.2 より前の 4.0の MultiPartParser に問題が発見されました。ときに特定の入力をマルチパートフォームに渡すと、ファイルを解析する際に、無限ループが発生する可能性があります。
(CVE-2022-23833)

- Django 2.2.28以前の 2.2、3.2.13 以前の 3.2、4.0.4 以前の 4.0に問題が発見されました。
QuerySet.annotate()、aggregate()、および extra() メソッドは、渡された ** kwargs として細工されたディクショナリ (ディクショナリ拡張あり) を介して、列エイリアスの SQL インジェクションの影響を受けます。(CVE-2022-28346)

- Django 2.2.28より前の 2.2、3.2.13 より前の 3.2、4.0.4 より前の 4.0の QuerySet.explain() に SQL インジェクションの問題が見つかりました。これは、以下のような細工されたディクショナリ (ディクショナリ拡張あり) をパスすると発生します。
**オプション引数。さらにオプション名にインジェクションペイロードを配置することによっても発生します。(CVE-2022-28347)

- Django 3.2.15以前の 3.2、4.0.7 以前の 4.0の HTTP FileResponse クラスで問題が発見されました。
アプリケーションは、ファイル名がユーザー指定の入力から派生したときに、FileResponse の Content-Disposition ヘッダーを設定する折り返し型ファイルダウンロード (RFD) 攻撃に対して脆弱です。(CVE-2022-36359)

- Django では、3.2.16 より前の 3.2、4.0.8 より前の 4.0、および 4.1.2より前の 4.1で、国際化された URL が、正規表現として扱われるロケールパラメーターを介して、サービス拒否攻撃を受ける可能性があります。 (CVE-2022-41323)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。