Debian dla-4210 : python-django-doc - セキュリティ更新

high Nessus プラグイン ID 238025

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートのDebian 11ホストには、dla-4210アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- -------------------------------------------------- -------------------------- Debian LTS アドバイザリ DLA-4210-1 [email protected] https://www.debian.org/lts/security/Chris Lamb 2025 年 6 月 9 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

パッケージ python-django バージョン 2:2.2.28-1~deb11u7 CVE ID CVE-2025-48432 CVE-2025-32873 CVE-2023-41164 CVE-2023-43665 CVE-2024-24680 CVE-2024-27351 Debian バグ 1107282 1104872 1051226

Python ベースのウェブ開発フレームワークとして知られる Django に、次の多数の脆弱性が発見されました

* CVE-2025-48432エスケープされていないリクエストパスを通じた潜在的なログインジェクション。

Django の内部 HTTP 応答ロギングが request.path を直接使用し、これにより制御文字改行や ANSI エスケープシーケンスなどが、エスケープされずにログに書き込まれる可能性がありました。これにより、ログインジェクションまたは偽造が可能になり、攻撃者が、特に外部システムで処理されるか、ターミナルで表示されるログにおいて、ログの外観や構造を操作できる可能性があります。
解決 #1107282

* CVE-2025-32873strip_tags() でのサービス拒否の可能性

django.utils.html.strip_tags() は、不完全な HTML タグの大きなシーケンスを含む特定の入力の評価が遅くなります。この関数は striptags テンプレートフィルターの実装に使用されますが、これも脆弱でした。 strip_tags() は、異常に多数の閉じられていないオープンタグに遭遇した場合に、SuspiciousOperation 例外を発生させるようになりました。
解決 #1104872

* CVE-2023-41164django.utils.encoding.uri_to_iri() の潜在的なサービス拒否の脆弱性。このメソッドは、非常に多数の Unicode 文字を含む特定の入力を介した、DoS 攻撃サービス拒否攻撃の可能性がありました。解決 #1051226

* CVE-2023-43665django.utils.text.Truncator 内のサービス拒否の可能性に対処します。

CVE-2019-14232に対する修正に続いて、django.utils.text.Truncator??s chars() および words() メソッドhtml=True の実装で使用される正規表現が修正され、改善されました。ただし、これらの正規表現は依然としてリニアーなバックトラッキングの複雑性を示しています。非常に長く、無効な形式の可能性がある HTML 入力が与えられた場合、評価は依然として遅く、サービス拒否の脆弱性につながる可能性があります。chars() と word() のメソッドは、truncatechars_html と truncatewords_html のテンプレートフィルターを実装するために使用されます。これらも脆弱でした。HTML モードで動作している場合、Truncator によって処理される入力は、潜在的なパフォーマンスおよびメモリの問題を避けるために最初の 500 万文字に制限されています。

* CVE-2024-24680intcomma テンプレートフィルターにおける潜在的なサービス拒否。intcomma テンプレートフィルターは、非常に長い文字列で使用されたとき、サービス拒否攻撃の対象となる可能性があります。

* CVE-2024-27351django.utils.text.Truncator.words で発生する可能性のある正規表現のサービス拒否ReDoS攻撃を修正します。このメソッドhtml=True を含むおよび truncatewords_html テンプレートフィルターは、適切に細工された文字列を介した正規表現 DoS 攻撃サービス拒否攻撃の対象となる可能性があります。これは一部、 CVE-2019-14232 および CVE-2023-43665のフォローアップです。

Debian 11 Bullseyeでは、これらの問題はバージョン 2:2.2.28-1~deb11u7で修正されました。

python-django パッケージをアップグレードすることを推奨します。

python-django の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/python-django

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。