概要
リモート SuSE ホストに1つ以上のセキュリティ更新がありません。
説明
python-tornado モジュールが、いくつかの修正、拡張機能、および新機能を提供するバージョン 4.2.1 に更新されました。
以下のセキュリティ問題が修正されました:
- StaticFileHandler にパストラバーサルの脆弱性があるため、名前が static_path ディレクトリで始まるが実際にはそのディレクトリに存在しないファイルがアクセスされる可能性がありました。
- XSRF トークンは、リクエストごとにランダムなマスクでエンコードされるようになりました。これにより、 BREACH 攻撃に対して脆弱性になることなく、圧縮ページに含めることが安全になります。
これは、xsrf_cookies および gzip オプション(またはプロキシによって適用された gzip)の両方を使用する、多くのアプリケーションに適用します。(bsc#930362、CVE-2014-9720)
- RequestHandler.{g,s}et_secure_cookie により使用される signed-value の書式が変わり、より安全になりました。(bsc#930361)
以下の拡張機能が実装されています:
- SSLIOStream.connect および IOStream.start_tls は、デフォルトで証明書を検証するようになりました。
- 証明書の検証では、システムの CA ルート証明書を使用することになります。
- デフォルトの SSL 構成は、クライアントサイドで ssl.create_default_context を可能な限り使用することで、より厳格になっています。
- tornado.auth モジュール、GoogleMixin、FacebookMixin、および FriendFeedMixin で、非推奨のクラスが削除されています。
- tornado.locks および tornado.queues のモジュールが新たに追加されています。
- tornado.websocket モジュールは、「permessage-deflate」拡張を通じて、圧縮をサポートするようになりました。
- Tornado は、Python 2 で実行される場合に、backports.ssl_match_hostname に依存するようになりました。
変更の包括的リストについては、以下のリリースノートを参照してください:
- http://www.tornadoweb.org/en/stable/releases/v4.2.0.html
- http://www.tornadoweb.org/en/stable/releases/v4.1.0.html
- http://www.tornadoweb.org/en/stable/releases/v4.0.0.html
- http://www.tornadoweb.org/en/stable/releases/v3.2.0.html
注意:Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
この SUSE セキュリティ更新をインストールするには、YaST online_update を使用してください。
または、お使いの製品用に一覧になったコマンドを実行することも可能です。
SUSE Linux Enterprise ワークステーション拡張 12-SP1:
zypper in -t patch SUSE-SLE-WE-12-SP1-2016-589=1
SUSE Linux Enterprise ワークステーション拡張 12 :
zypper in -t patch SUSE-SLE-WE-12-2016-589=1
SUSE Linux Enterprise Desktop 12-SP1:
zypper in -t patch SUSE-SLE-DESKTOP-12-SP1-2016-589=1
SUSE Linux Enterprise Desktop 12:
zypper in -t patch SUSE-SLE-DESKTOP-12-2016-589=1
お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。
プラグインの詳細
ファイル名: suse_SU-2016-1195-1.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:python-tornado, cpe:/o:novell:suse_linux:12
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available