当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

requests sessions.py resolve_redirects会话固定漏洞

     发表日期:2015-03-26 10:56:00

requests sessions.py resolve_redirects会话固定漏洞
CVE-ID:CVE-2015-2296
发布日期:2015-03-13
更新日期:2015-03-19
受影响系统:
requests requests 2.1.0 - 2.5.3
详细信息:
 
Requests是Apache2许可的HTTP库,是用Python编写的。
 
 
 
Requests 2.1.0-2.5.3版本,sessions.py中的resolve_redirects函数存在安全漏洞,在重定向时没有正确处理不带host值的cookie,远程攻击者可利用此漏洞执行会话固定攻击。
 
 
来源:
Matthew Daley
解决办法:
厂商补丁:
 
requests
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
 
 
https://warehouse.python.org/project/requests/2.6.0/
 
 
 
参考:
 
http://www.ubuntu.com/usn/USN-2531-1
 
http://www.openwall.com/lists/oss-security/2015/03/14/4
 
https://github.com/kennethreitz/requests/commit/3bd8afbff29e50b38f889b2f688785a669b9aafc