BDU:2015-11320

Опубликовано: 24 авг. 2015

Источник: fstec

CVSS2: 5

EPSS Низкий

Описание

Уязвимость элемента contrib.sessions.middleware.SessionMiddleware фреймворка для веб-приложений Django связана с ошибкой управления ресурсом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании путём отправки большого числа запросов к contrib.auth.views.logout, приводящей к созданию пустой записи сессии

Вендор

Canonical Ltd.

Django Software Foundation

Наименование ПО

Ubuntu

Django

Версия ПО

14.04 LTS (Ubuntu)

12.04 LTS (Ubuntu)

15.04 (Ubuntu)

12.04 LTS (Ubuntu)

14.04 LTS (Ubuntu)

15.04 (Ubuntu)

от 1.8.0 до 1.8.4 (Django)

от 1.7.0 до 1.7.10 (Django)

от 1.4.0 до 1.4.22 (Django)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://www.djangoproject.com/weblog/2015/aug/18/security-releases/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%

0.05934

Низкий

5 Medium

CVSS2

Связанные уязвимости

CVE-2015-5963

ubuntu

почти 10 лет назад

contrib.sessions.middleware.SessionMiddleware in Django 1.8.x before 1.8.4, 1.7.x before 1.7.10, 1.4.x before 1.4.22, and possibly other versions allows remote attackers to cause a denial of service (session store consumption or session record removal) via a large number of requests to contrib.auth.views.logout, which triggers the creation of an empty session record.