requests sessions.py resolve

发布日期:2015-03-13
更新日期:2015-03-19

受影响系统:
requests requests 2.1.0 - 2.5.3
描述:
CVE(CAN) ID: CVE-2015-2296

Requests是Apache2许可的HTTP库,是用Python编写的。

Requests 2.1.0-2.5.3版本,sessions.py中的resolve_redirects函数存在安全漏洞,在重定向时没有正确处理不带host值的cookie,远程攻击者可利用此漏洞执行会话固定攻击。

<*来源:Matthew Daley
  *>

建议:
厂商补丁:

requests
 --------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://warehouse.python.org/project/requests/2.6.0/

参考:


https://github.com/kennethreitz/requests/commit/3bd8afbff29e50b38f889b2f688785a669b9aafc

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/a38cf9d256fe82ea4838b09b79e1ad6b.html