SUSE SLED12 安全更新：python-tornado (SUSE-SU-2016:1195-1)

medium Nessus 插件 ID 90883

语言：

简介

远程 SUSE 主机缺少一个或多个安全更新。

描述

python-tornado 模块已更新至 4.2.1 版，带来了数个修复、增强功能和新功能。

修复了以下安全问题：

- StaticFileHandler 中的一个路径遍历漏洞，在此情况下，可以访问名称以 static_path 目录开头但实际并不在该目录中的文件。

- 现已针对每个请求使用随机掩码对 XSRF 标记进行了编码。此操作可使其安全地包括在压缩页面中，而不容易遭受 BREACH 攻击。
此操作适用于使用 xsrf_cookies 和 gzip 选项（或已通过代理应用 gzip）的多数应用程序。（bsc#930362、CVE-2014-9720）

- RequestHandler.{g,s}et_secure_cookie 使用的有符号值格式变得更加安全。(bsc#930361)

已实现下列增强功能：

- 现在，SSLIOStream.connect 和 IOStream.start_tls 默认会执行证书验证。

- 证书验证现在将使用系统 CA 根证书。

- 默认 SSL 配置已变得更加严格，在客户端提供时使用 ssl.create_default_context。

- 已删除 tornado.auth 模块中过时的类 GoogleMixin、FacebookMixin 和 FriendFeedMixin。

- 已新增模块：tornado.locks 和 tornado.queues。

- tornado.websocket 模块现在可通过“permessage-deflate”扩展支持压缩。

- 当在 Python 2 上运行时，Tornado 现在依赖于 backports.ssl_match_hostname。

如需完整的变更列表，请参阅发行说明：

- http://www.tornadoweb.org/en/stable/releases/v4.2.0.html

- http://www.tornadoweb.org/en/stable/releases/v4.1.0.html

- http://www.tornadoweb.org/en/stable/releases/v4.0.0.html

- http://www.tornadoweb.org/en/stable/releases/v3.2.0.html

请注意，Tenable Network Security 已直接从 SUSE 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

请使用 YaST online_update 安装此 SUSE 安全更新。
或者，可以运行为产品列出的命令：

SUSE Linux Enterprise Workstation Extension 12-SP1：

zypper in -t patch SUSE-SLE-WE-12-SP1-2016-589=1

SUSE Linux Enterprise Workstation Extension 12：

zypper in -t patch SUSE-SLE-WE-12-2016-589=1

SUSE Linux Enterprise Desktop 12-SP1：

zypper in -t patch SUSE-SLE-DESKTOP-12-SP1-2016-589=1

SUSE Linux Enterprise Desktop 12：

zypper in -t patch SUSE-SLE-DESKTOP-12-2016-589=1

要使系统保持最新状态，请使用“zypper 修补程序”。