Confira !!
O pacote src: python-bottle antes de 0.12.19 é vulnerável ao envenenamento do cache da Web usando um vetor chamado camuflagem de parâmetro. Quando o invasor pode separar os parâmetros de consulta usando um
- ------------------------------------------------- ----------------------
Debian LTS Advisory DLA-2531-1 debian-lts@lists.debian.org
https://www.debian.org/lts/security/ Utkarsh Gupta
24 de janeiro de 2021 https://wiki.debian.org/LTS
- ------------------------------------------------- ----------------------
Pacote: garrafa-python
Versão: 0.12.13-1 + deb9u1
ID CVE: CVE-2020-28473
O pacote src: python-bottle antes de 0.12.19 é vulnerável a
Envenenamento do cache da Web usando um vetor chamado camuflagem de parâmetros.
Quando o invasor pode separar os parâmetros de consulta usando um
ponto e vírgula (;), eles podem causar uma diferença na interpretação
da solicitação entre o proxy (executando com configuração padrão)
e o servidor. Isso pode resultar em solicitações maliciosas sendo armazenadas em cache
completamente seguros, já que o proxy geralmente não veria o
ponto e vírgula como separador e, portanto, não o incluiria em um
chave de cache de um parâmetro sem chave.
Para Debian 9 stretch, este problema foi corrigido na versão
0.12.13-1 + deb9u1.
Recomendamos que você atualize seus pacotes python-bottle.
Para o status de segurança detalhado de python-bottle, consulte
sua página de rastreador de segurança em:
https://security-tracker.debian.org/tracker/python-bottle
Mais informações sobre os avisos de segurança Debian LTS, como se inscrever
essas atualizações em seu sistema e as perguntas mais frequentes podem ser
encontrado em: https://wiki.debian.org/LTS
Até a próxima !!
Nenhum comentário:
Postar um comentário