| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 3.6 | $0-$5k | 0.00 |
要約
現在、Djangoにて、問題があると分類される脆弱性が確認されています。 影響を受けるのは、コンポーネント【Cache Handler】の未知の関数です。 この操作は、 情報漏えいを引き起こします。 この脆弱性はCVE-2014-1418として知られています。 影響を受けているコンポーネントのアップグレードを推奨します。
詳細
現在、Djangoにて、問題があると分類される脆弱性が確認されています。 影響を受けるのは、コンポーネント【Cache Handler】の未知の関数です。 この操作は、 情報漏えいを引き起こします。 CWEを使用して問題を宣言すると、CWE-200 につながります。 この脆弱性は 2014年05月13日に Michael Nelson, Natalia Bidart and James Westbyより「Bugzilla」の Bug Reportにて 「Bug 1097500」として 紹介されました。 アドバイザリはbugzilla.redhat.comでダウンロードできます。 公開リリースはベンダーと調整されています。
この脆弱性はCVE-2014-1418として知られています。 CVEの割当は2014年01月13日で行われました。 技術的な情報は提供されていません。 この脆弱性の普及度は平均未満です。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトによると、攻撃手法はT1592です。 アドバイザリは以下の内容を示しています:
In certain situations, Django may allow caches to store private data related to a particular session and then serve that data to requests with a different session, or no session at all. This can both lead to information disclosure, and can be a vector for cache poisoning. When using Django sessions, Django will set a ``Vary: Cookie`` header to ensure caches do not serve cached data to requests from other sessions. However, older versions of Internet Explorer (most likely only Internet Explorer 6, and Internet Explorer 7 if run on Windows XP or Windows Server 2003) are unable to handle the ``Vary`` header in combination with many content types. Therefore, Django would remove the header if the request was made by Internet Explorer.
このエクスプロイトツールは 未定義 として宣言されています。 0-dayの際、アンダーグラウンド市場での想定価格は$5k-$25k前後でした。 脆弱性診断ツールNessusは、ID 74178のプラグインを用意しています。 Fedora Local Security Checks ファミリーに分類されています。 これにはポート 0 が利用されます。 商用脆弱性スキャナーQualysではプラグイン【 123242 (Fedora Security Update for python-django14 (FEDORA-2015-0804)) 】を使用してこの問題をテストできます。
この問題は、1.4.13, 1.5.8, 1.6.5 , 1.7 beta 4へのアップグレードによって解決可能です。 影響を受けているコンポーネントのアップグレードを推奨します。 脆弱性の開示から すぐに 後に、可能な緩和策が公表されました。 アドバイザリには次の注記が含まれています:
To remedy this, the special behavior for these older Internet Explorer versions has been removed, and the ``Vary`` header is no longer stripped from the response. In addition, modifications to the ``Cache-Control`` header for all Internet Explorer requests with a ``Content-Disposition`` header, have also been removed as they were found to have similar issues.
脆弱性は「SecurityFocus (BID 67408), X-Force (93179), Secunia (SA61281), Vulnerability Center (SBV-44640) , Tenable (74178)」等の脆弱性データベースにも文書化されています。
製品
タイプ
名前
バージョン
- 1.4
- 1.4.1
- 1.4.2
- 1.4.4
- 1.4.5
- 1.4.6
- 1.4.7
- 1.4.8
- 1.4.9
- 1.4.10
- 1.4.11
- 1.4.12
- 1.5
- 1.5.1
- 1.5.2
- 1.5.3
- 1.5.4
- 1.5.5
- 1.5.6
- 1.5.7
- 1.6.1
- 1.6.2
- 1.6.3
- 1.6.4
- 1.7
ライセンス
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 3.7VulDB 一時的なメタスコア: 3.6
VulDB ベーススコア: 3.7
VulDB 一時的なスコア: 3.6
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 情報漏えいCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 74178
Nessus 名前: Fedora 20 : python-django14-1.4.13-1.fc20 (2014-6442)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Port: 🔍
OpenVAS ID: 702934
OpenVAS 名前: Debian Security Advisory DSA 2934-1 (python-django - security update
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
アップグレード: Django 1.4.13/1.5.8/1.6.5/1.7 beta 4
タイムライン
2014年01月13日 🔍2014年05月13日 🔍
2014年05月13日 🔍
2014年05月15日 🔍
2014年05月15日 🔍
2014年05月16日 🔍
2014年05月20日 🔍
2014年05月26日 🔍
2014年05月27日 🔍
2014年09月17日 🔍
2021年06月19日 🔍
ソース
勧告: Bug 1097500調査者: Michael Nelson, Natalia Bidart, James Westby
ステータス: 確認済み
確認: 🔍
調整済み: 🔍
CVE: CVE-2014-1418 (🔍)
GCVE (CVE): GCVE-0-2014-1418
GCVE (VulDB): GCVE-100-13253
OVAL: 🔍
X-Force: 93179 - Django Vary and Cache-Control headers information disclosure, Medium Risk
SecurityFocus: 67408 - Django 'Vary Header' Information Disclosure Vulnerability
Secunia: 61281 - SUSE update for python-django, Moderately Critical
OSVDB: 107011
Vulnerability Center: 44640 - Django Remote Information Disclosure via a Request From Certain Browsers, Medium
関連情報: 🔍
エントリ
作成済み: 2014年05月20日 10:28更新済み: 2021年06月19日 18:34
変更: 2014年05月20日 10:28 (85), 2017年05月29日 08:48 (5), 2021年06月19日 18:34 (3)
完了: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。