Fedora 36 : python-django3 (2023-3d775d93be)

medium Nessus プラグイン ID 172107

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 36 ホストには、FEDORA-2023-3d775d93be のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Django では、3.2.16 より前の 3.2、4.0.8 より前の 4.0、および 4.1.2より前の 4.1で、国際化された URL が、正規表現として扱われるロケールパラメーターを介して、サービス拒否攻撃を受ける可能性があります。(CVE-2022-41323)

- Django 3.2.18より前の 3.2、4.0.10 より前の 4.0、4.1.7 より前の 4.1 の Multipart Request Parser に問題が発見されました。特定の入力 (過剰な数のパートなど) をマルチパートフォームに渡すと、開いているファイルが多すぎたり、メモリを使い果たしたりする可能性があり、サービス拒否攻撃を受ける可能性がありました。(CVE-2023-24580)

- 拒否理由: この候補番号は使用しないでください。ConsultIDs: CVE-2023-24580。理由: この候補は CVE-2023-24580 の複製です。誤字により、間違った ID が使用されていました。注意: すべての CVE ユーザーは、この候補ではなく CVE-2023-24580 を参照する必要があります。この候補のすべての参照と説明は、偶発的な使用を防ぐために削除されています。(CVE-2022-24580)

- GLPI は Gestionnaire Libre de Parc Informatique の略で、ITIL Service Desk 機能、ライセンス追跡、ソフトウェア監査を提供する無料の資産および IT 管理ソフトウェアのパッケージです。認証されていないユーザーが、ユーザーのログインを列挙する可能性があります。ユーザーはバージョン 10.0.10 にアップグレードすることを推奨します。この脆弱性に対する既知の回避策はありません。(CVE-2023-41323)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。