检测

Debian DLA-1872-1:python-django 安全更新

high Nessus 插件 ID 127481

语言:

简介

远程 Debian 主机缺少安全更新。

描述

Django web 开发框架中发现两个漏洞:- CVE-2019-14232:防止 django.utils.text.Truncator 中可能的拒绝服务。如果 django.utils.text.Truncator 的 chars() 和 words() 方法传递了 html=True 参数,由于正则表达式中存在灾难性回溯漏洞,因此会极大降低评估特定输入的速度。chars() 和 word() 方法用于实现 truncatechars_html 和 truncatewords_html 模板筛选器,这些筛选器因此容易受到攻击。Truncator 使用的正则表达式已进行了简化,避免潜在的回溯问题。因此,现在截断的输出中有时会包含结尾的标点符号。- CVE-2019-14233:防止 strip_tags() 中可能的拒绝服务。由于目标 HTMLParser 的行为,django.utils.html.strip_tags() 可能会极大降低评估包含嵌套有不完整 HTML 实体的大型序列的特定输入的速度。strip_tags() 方法用于实现相应的 striptags 模板筛选器,因此也存在漏洞。现在进程删除标签时,strip_tags() 已避免递归调用 HTMLParser,但需要停止使用不完整的 HTML 实体。请谨记,不存在绝对保证 strip_tags() 对 HTML 是安全的。因此在未首先将 strip_tags() 调用的结果进行转义(例如使用 django.utils.html.escape())前,切勿将其标记为安全。对于 Debian 8“Jessie”,这些问题已在 python-django 版本 1.7.11-1+deb8u7 中修复。我们建议您升级 python-django 程序包。您可以在上游公告中找到更多信息:https://www.djangoproject.com/weblog/2019/aug/01/security-releases/ 感谢 Carlton Gibson 等处理这些问题。注意:Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下,尽可能进行自动整理和排版。

解决方案

升级受影响的程序包。

另见

https://lists.debian.org/debian-lts-announce/2019/08/msg00005.html

https://packages.debian.org/source/jessie/python-django

https://www.djangoproject.com/weblog/2019/aug/01/security-releases/

插件详情

严重性: High

ID: 127481

文件名: debian_DLA-1872.nasl

版本: 1.3

类型: local

代理: unix

发布时间: 2019/8/12

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:python-django, p-cpe:/a:debian:debian_linux:python-django-common, p-cpe:/a:debian:debian_linux:python-django-doc, p-cpe:/a:debian:debian_linux:python3-django, cpe:/o:debian:debian_linux:8.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

补丁发布日期: 2019/8/6

漏洞发布日期: 2019/8/6