发布日期:2015-03-13
更新日期:2015-03-19
受影响系统:
requests requests 2.1.0 - 2.5.3
描述:
CVE(CAN) ID: CVE-2015-2296
Requests是Apache2许可的HTTP库,是用Python编写的。
Requests 2.1.0-2.5.3版本,sessions.py中的resolve_redirects函数存在安全漏洞,在重定向时没有正确处理不带host值的cookie,远程攻击者可利用此漏洞执行会话固定攻击。
<*来源:Matthew Daley
*>
建议:
厂商补丁:
requests
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://warehouse.python.org/project/requests/2.6.0/
参考:
https://github.com/kennethreitz/requests/commit/3bd8afbff29e50b38f889b2f688785a669b9aafc