Debian DSA-2529-1:python-django - 複数の脆弱性

medium Nessus プラグイン ID 61538

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Jeroen Dekkers 氏およびその他の方々により、Python Web フレームワークである Django にあるいくつかの脆弱性が報告されました。Common Vulnerabilities and Exposures プロジェクトでは、次の問題が特定されています:

- CVE-2012-3442 2 つの関数がリダイレクトターゲットのスキームを検証しません。これにより、リモートの攻撃者が data: URL を介して、クロスサイトスクリプティング(XSS)攻撃を仕掛ける可能性があります。

- CVE-2012-3443 ImageField クラスは、画像検証中に画像データを完全に解凍します。これにより、リモートの攻撃者が、画像ファイルをアップロードすることでサービス拒否(メモリ破損)を引き起こすことができます。

- CVE-2012-3444 画像処理機能の get_image_dimensions 関数は、寸法を決定する試みにおいて、常に一定のチャンクサイズを使用します。これにより、リモートの攻撃者は、大きな TIFF 画像を介してサービス拒否(プロセスまたはスレッドの消費)を引き起こすことができます。

ソリューション

python-django パッケージをアップグレードしてください。

安定版(stable)ディストリビューション(squeeze)では、この問題はバージョン 1.2.3-3+squeeze3 で修正されています。

参考資料

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=683364

https://security-tracker.debian.org/tracker/CVE-2012-3442

https://security-tracker.debian.org/tracker/CVE-2012-3443

https://security-tracker.debian.org/tracker/CVE-2012-3444

https://packages.debian.org/source/squeeze/python-django

https://www.debian.org/security/2012/dsa-2529

プラグインの詳細

深刻度: Medium

ID: 61538

ファイル名: debian_DSA-2529.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2012/8/15

更新日: 2021/1/11

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:python-django, cpe:/o:debian:debian_linux:6.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2012/8/14

参照情報

CVE: CVE-2012-3442, CVE-2012-3443, CVE-2012-3444

BID: 54742

DSA: 2529