FreeBSD：django -- 多种漏洞 (5f326d75-1db9-11e2-bc8f-d0df9acfd7e5)

medium Nessus 插件 ID 62705

语言：

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Django 项目报告：

- 主机标头中毒

Django 的某些部分 -- 不依赖最终用户编写的应用程序 -- 利用从 HTTP 主机标头生成的完整 URL，包括域名。某些针对此方面的攻击超出了 Django 的控制能力，并需要正确配置 Web 服务器；Django 的文档在一段时间包含对此类配置的用户建议说明。

但是，据最近报告，Django 自己的内置主机标头解析仍然容易受到影响。Django 1.3 和 Django 1.4 中的主机标头解析 -- 具体而言，django.http.HttpRequest.get_host() -- 未正确处理标头中的用户名/密码信息。因此，例如，在“validsite.com”上运行时，Django 将接受以下主机标头：

主机：validsite.com:random@evilsite.com

使用此标头，攻击者可导致部分 Django -- 尤其是密码重置机制 -- 为用户生成并显示任意 URL。

为了补救这点，正在修改 HttpRequest.get_host() 中的解析；包含潜在的危险内容的主机标头（例如用户名/密码对）现在报告异常 django.core.exceptions.SuspiciousOperation。

- HttpOnly Cookie 选项的文档

从 Django 1.4 起，始终将会话 Cookie 与 HttpOnly 标记一起发送，这通过拒绝客户端脚本对会话 Cookie 的访问权限提供针对跨站脚本攻击的一些额外的保护。

虽然不是 Django 中的直接的安全问题，据报告，Django 1.4 文档未通过声明现在这是由 HttpResponse.set_cookie() 方法设置的所有 Cookie 的默认设置而正确描述此变更。

Django 文档已更新，反映了这只适用于会话 Cookie。建议 Django 用户检查他们的 set_cookie() 使用，以确保已适当设置或取消设置 HttpOnly 标记。