検出

SUSE SLED12 セキュリティ更新:python-tornado(SUSE-SU-2016:1195-1)

medium Nessus プラグイン ID 90883

Language:

概要

リモート SuSE ホストに1つ以上のセキュリティ更新がありません。

説明

python-tornado モジュールが、いくつかの修正、拡張機能、および新機能を提供するバージョン 4.2.1 に更新されました。

以下のセキュリティ問題が修正されました:

- StaticFileHandler にパストラバーサルの脆弱性があるため、名前が static_path ディレクトリで始まるが実際にはそのディレクトリに存在しないファイルがアクセスされる可能性がありました。

- XSRF トークンは、リクエストごとにランダムなマスクでエンコードされるようになりました。これにより、 BREACH 攻撃に対して脆弱性になることなく、圧縮ページに含めることが安全になります。
 これは、xsrf_cookies および gzip オプション(またはプロキシによって適用された gzip)の両方を使用する、多くのアプリケーションに適用します。(bsc#930362、CVE-2014-9720)

- RequestHandler.{g,s}et_secure_cookie により使用される signed-value の書式が変わり、より安全になりました。(bsc#930361)

以下の拡張機能が実装されています:

- SSLIOStream.connect および IOStream.start_tls は、デフォルトで証明書を検証するようになりました。

- 証明書の検証では、システムの CA ルート証明書を使用することになります。

- デフォルトの SSL 構成は、クライアントサイドで ssl.create_default_context を可能な限り使用することで、より厳格になっています。

- tornado.auth モジュール、GoogleMixin、FacebookMixin、および FriendFeedMixin で、非推奨のクラスが削除されています。

- tornado.locks および tornado.queues のモジュールが新たに追加されています。

- tornado.websocket モジュールは、「permessage-deflate」拡張を通じて、圧縮をサポートするようになりました。

- Tornado は、Python 2 で実行される場合に、backports.ssl_match_hostname に依存するようになりました。

変更の包括的リストについては、以下のリリースノートを参照してください:

- http://www.tornadoweb.org/en/stable/releases/v4.2.0.html

- http://www.tornadoweb.org/en/stable/releases/v4.1.0.html

- http://www.tornadoweb.org/en/stable/releases/v4.0.0.html

- http://www.tornadoweb.org/en/stable/releases/v3.2.0.html

注意:Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

この SUSE セキュリティ更新をインストールするには、YaST online_update を使用してください。
または、お使いの製品用に一覧になったコマンドを実行することも可能です。

SUSE Linux Enterprise ワークステーション拡張 12-SP1:

zypper in -t patch SUSE-SLE-WE-12-SP1-2016-589=1

SUSE Linux Enterprise ワークステーション拡張 12 :

zypper in -t patch SUSE-SLE-WE-12-2016-589=1

SUSE Linux Enterprise Desktop 12-SP1:

zypper in -t patch SUSE-SLE-DESKTOP-12-SP1-2016-589=1

SUSE Linux Enterprise Desktop 12:

zypper in -t patch SUSE-SLE-DESKTOP-12-2016-589=1

お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。

参考資料

http://www.tornadoweb.org/en/stable/releases/v3.2.0.html

http://www.tornadoweb.org/en/stable/releases/v4.0.0.html

http://www.tornadoweb.org/en/stable/releases/v4.1.0.html

http://www.tornadoweb.org/en/stable/releases/v4.2.0.html

https://bugzilla.suse.com/show_bug.cgi?id=930361

https://bugzilla.suse.com/show_bug.cgi?id=930362

https://bugzilla.suse.com/show_bug.cgi?id=974657

https://www.suse.com/security/cve/CVE-2014-9720/

http://www.nessus.org/u?4b05bcc2

プラグインの詳細

深刻度: Medium

ID: 90883

ファイル名: suse_SU-2016-1195-1.nasl

バージョン: 2.9

タイプ: local

エージェント: unix

公開日: 2016/5/4

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:python-tornado, cpe:/o:novell:suse_linux:12

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/5/2

脆弱性公開日: 2020/1/24

参照情報

CVE: CVE-2014-9720