openSUSE セキュリティ更新:python-Django(openSUSE-2015-677)
high Nessus プラグイン ID 86594
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
python-django が更新され、2 つのセキュリティの問題が修正されました。これらのセキュリティの問題が修正されました:
- CVE-2015-5144:1.4.21 より前の Django、1.5.x から 1.6.x の Django、 1.7.9 より前の 1.7.x の Django、および 1.8.3 より前の 1.8.x の Django が不適切な正規表現を使用していました。これにより、リモートの攻撃者は、(1) EmailValidator へのメールメッセージ、(2) URLValidator への URL、あるいは (3) validate_ipv4_address または (4) validate_slug バリデーターへの特定されていないベクトルの改行文字を通じて、任意のヘッダーを挿入し、HTTP 応答分割攻撃を仕掛けることができます(bsc#937523)。
- CVE-2015-5143:1.4.21 以前、1.5.x から 1.6.x、1.7.9 以前の 1.7.x、および 1.8.3 以前の 1.8.x の Django のセッションバックエンドにより、リモートの攻撃者は、一意のセッションキーを持つ複数のリクエストを通じて、サービス拒否(セッションストア消費)を引き起こすことができます(bsc#937522)。
ソリューション
影響を受ける python-Django パッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 86594
ファイル名: openSUSE-2015-677.nasl
バージョン: 2.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2015/10/26
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: High
基本値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:python-django, cpe:/o:novell:opensuse:13.2
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2015/10/15
参照情報
CVE: CVE-2015-5143, CVE-2015-5144