openSUSE セキュリティ更新:python-Django(openSUSE-2015-281)
medium Nessus プラグイン ID 82515
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
セキュリティ問題と非セキュリティバグを修正するため、python-django が 1.6.11 に更新されました。次の脆弱性が修正されました:
- is_safe_url() に、ユーザー提供のリダイレクト URL を介した XSS 攻撃の可能性を緩和するため、制御文字で開始する URL を拒否させました(bnc#923176、CVE-2015-2317)
- strip_tags() の無限ループの可能性を修正しました(bnc#923172、CVE-2015-2316)
- アンダースコア/ダッシュ合成を介する WSGI ヘッダーのなりすまし(bnc#913053、CVE-2015-0219)
- ユーザー提供のリダイレクト URL を介した XSS 攻撃の可能性を緩和しました
- 「django.views.static.serve」に対する DoS 攻撃(サービス拒否攻撃)(bnc#913056、CVE-2015-0221)
- 「ModelMultipleChoiceField」を含むデータベースサービス拒否(bnc#913055、CVE-2015-0222)
この更新には、非セキュリティバグ、機能性および安定性に対する問題の修正も含まれています。
ソリューション
影響を受ける python-Django パッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=913053
https://bugzilla.opensuse.org/show_bug.cgi?id=913055
https://bugzilla.opensuse.org/show_bug.cgi?id=913056
プラグインの詳細
深刻度: Medium
ID: 82515
ファイル名: openSUSE-2015-281.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2015/4/2
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.2
CVSS v2
リスクファクター: Medium
基本値: 5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:python-django, cpe:/o:novell:opensuse:13.2
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2015/3/25
参照情報
CVE: CVE-2015-0219, CVE-2015-0221, CVE-2015-0222, CVE-2015-2316, CVE-2015-2317