OpenSOSE 15安全更新:python-Flask

高位奈苏斯插件号178692

语言 :

简表

远程 OpenSOSE主机缺安全更新

描述性

远程 OpenSOSE 15主机安装受SUSE-SU2023:2263-2咨询中引用的脆弱性影响的包

佛拉斯克网络应用框架轻量级WSGI满足所有下列条件后,含有供客户使用的数据响应可能被缓存并随后由代理发送到其他客户代理程序还缓存set-Cookie头条时,它可发送客户端sessioncookie到其他客户端严重程度取决于应用使用会话和代理行为 cookie风险取决于满足所有这些条件开工程序必须在缓存代理文件后托管,该代理文件不脱线 cookie或忽略cookie响应二叉程序集session.sperial= true3程序不访问或修改会议请求期间的任何时候4级ESION_REFERSH_ACH_REQEST启动5级程序不设置缓存控制头表示页面为私有或不应缓存发生这种情况是因为脆弱版本Flask只设置 session存取或修改时的'Vary:Cookie'头,而不是当它刷新(重发更新过期)时不存取或修改发行版2.3.2和2.2.5(CVE-2023-30861)

注意Nessus没有测试这一问题,而是只依赖应用自报版号