手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

Django 'session.flush()'函数会话固定漏洞(CVE-2015-3982)

[日期:2015-06-05] 来源:Linux社区  作者:Linux [字体: ]
Django 'session.flush()'函数会话固定漏洞(CVE-2015-3982)


发布日期:2015-06-02
更新日期:2015-06-05

受影响系统:

Django Django 1.8.1
Django Django 1.8.0

描述:


BUGTRAQ  ID: 74960
CVE(CAN) ID: CVE-2015-3982

Django是Python编程语言驱动的一个开源Web应用程序框架。

Django 1.8.0、1.8.1版本,cached_db后端的session.flush函数没有正确清除会话,这可使远程攻击者通过会话密钥内的空字符串,劫持用户会话。

<*来源:Sam Cooke
  *>

建议:


厂商补丁:

Django
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://www.djangoproject.com/weblog/2015/may/20/security-release/

Ubuntu Server 12.04 安装Nginx+uWSGI+Django环境 http://www.linuxidc.com/Linux/2012-05/60639.htm 

Django+Nginx+uWSGI 部署 http://www.linuxidc.com/Linux/2013-02/79862.htm 

Django实战教程 http://www.linuxidc.com/Linux/2013-09/90277.htm 

Django Python MySQL Linux 开发环境搭建 http://www.linuxidc.com/Linux/2013-09/90638.htm 

Django 的详细介绍请点这里
Django 的下载地址请点这里

本文永久更新链接地址http://www.linuxidc.com/Linux/2015-06/118433.htm

linux
相关资讯       Django  Django漏洞 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款