Fedora 37 : python-asgiref / python-django (2023-9d36d373f1)

high Nessus プラグイン ID 183683

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 37 ホストには、FEDORA-2023-9d36d373f1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

-Django 3.2.20 より前の、3.24.1.10より前の 4、および 4.2.3 より前の、4.2EmailValidator および URLValidator は、メールおよび URL の非常に多数のドメイン名ラベルを介して、潜在的に ReDoS (正規表現のサービス拒否) 攻撃を受ける可能性があります。(CVE-2023-36053)

- 3.2.21 より前の Django 3.2、4.1.11 より前の 4.1、および 4.2.5 より前の 4.2 では、django.utils.encoding.uri_to_iri() は、Unicode 文字の非常に大きな値を持つ特定の入力を介して、DoS (サービス拒否) 攻撃を受ける可能性があります。(CVE-2023-41164)

- 3.2.22 より前の Django 3.2、4.1.12 より前の 4.1、および 4.2.6 より前の 4.2 では、django.utils.text.Truncator の chars() および word() メソッド (html=True で使用時) は、非常に長く、無効な形式の可能性がある HTML テキストを含む特定の入力を介した、DoS (サービス拒否) 攻撃を受ける可能性があります。chars() メソッドおよび words() メソッドも、truncatechars_html および truncatewords_html テンプレートフィルターを実装するために使用されるため、脆弱でした。注: この問題は、CVE-2019-14232 に対する修正が不完全なために存在します。(CVE-2023-43665)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。