FreeBSD:django -- 複数の脆弱性(14a37474-1383-11e0-8a58-00215c6a37bb)
medium Nessus プラグイン ID 51393
Language:
概要
リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。説明
Django プロジェクトによる報告:現在、Django チームは、報告された 2 つのセキュリティの問題を修正するために、Django 1.2.4、Django 1.1.3、Django 1.3 ベータ 1 の複数のリリースを発行しています。影響を受けるバージョンの Django のユーザーはすべて、早急なアップグレードが必要です。Django 管理インターフェイスにおける情報漏洩。Django 管理者インターフェイスの django.contrib.admin は、関連のモデルにおけるフィールドによってオブジェクトの表示されたリストのフィルタリングをサポートしています。これには、データベースレベルの関係が含まれています。
これは、URL のクエリ部分における検索引数を渡すことで実装されています。また、ModelAdmin クラスのオプションにより、開発者が、フィルタリングを行うために自動リンクを生成する特定のフィールドまたは関係を指定することができます。パスワードリセットメカニズムにおけるサービス拒否攻撃。Django のバンドル化された認証フレームワークの django.contrib.auth では、ユーザーが忘れたパスワードをリセットできるようにするビューを提供します。このリセットメカニズムには、ユーザー ID からつくられたワンタイムトークン、base36 整数に変換されたリセットリクエストのタイムスタンプ、ユーザーの現在のパスワードハッシュから派生したハッシュ(リセットが完了すると変更され、トークンが無効化されます)の生成に関連しています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 51393
ファイル名: freebsd_pkg_14a37474138311e08a5800215c6a37bb.nasl
バージョン: 1.11
タイプ: local
公開日: 2010/12/30
更新日: 2021/1/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 4.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:py23-django, p-cpe:/a:freebsd:freebsd:py23-django-devel, p-cpe:/a:freebsd:freebsd:py24-django, p-cpe:/a:freebsd:freebsd:py24-django-devel, p-cpe:/a:freebsd:freebsd:py25-django, p-cpe:/a:freebsd:freebsd:py25-django-devel, p-cpe:/a:freebsd:freebsd:py26-django, p-cpe:/a:freebsd:freebsd:py26-django-devel, p-cpe:/a:freebsd:freebsd:py27-django, p-cpe:/a:freebsd:freebsd:py27-django-devel, p-cpe:/a:freebsd:freebsd:py30-django, p-cpe:/a:freebsd:freebsd:py30-django-devel, p-cpe:/a:freebsd:freebsd:py31-django, p-cpe:/a:freebsd:freebsd:py31-django-devel, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2010/12/29
脆弱性公開日: 2010/12/22
参照情報
CVE: CVE-2010-4534, CVE-2010-4535
Secunia: 42715