Debian DSA-2163-1:python-django - 多个漏洞
medium Nessus 插件 ID 51979
语言:
简介
远程 Debian 主机缺少与安全相关的更新。描述
在 Django Web 开发框架中发现数个漏洞:- CVE-2011-0696 出于数个原因,过去未使用内部 CSRF 保护来验证 AJAX 请求。但是已发现攻击者可结合浏览器插件和重定向利用此异常状况,因此这个异常状况不充分。
- CVE-2011-0697 已发现文件上传表单容易通过文件名遭受跨站脚本攻击。
请务必注意,由于对上述问题的修正,此更新引入了轻微的向后不兼容性。如需确切详细信息,请参阅:尤其是“向后不兼容变更”一节。
旧稳定发行版本 (lenny) 中的程序包不受这些问题的影响。
解决方案
升级 python-django 程序包。对于稳定发行版本 (squeeze),已在版本 1.2.3-3+squeeze1 中修复此问题。
另见
https://security-tracker.debian.org/tracker/CVE-2011-0696
https://security-tracker.debian.org/tracker/CVE-2011-0697
插件详情
严重性: Medium
ID: 51979
文件名: debian_DSA-2163.nasl
版本: 1.14
类型: local
代理: unix
发布时间: 2011/2/15
最近更新时间: 2021/1/4
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:python-django, cpe:/o:debian:debian_linux:6.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2011/2/14
参考资料信息
CVE: CVE-2011-0696, CVE-2011-0697
BID: 46296
DSA: 2163