Рекомендация Debian по безопасности

DLA-279-1 python-tornado -- обновление безопасности LTS

Дата сообщения:
22.07.2015
Затронутые пакеты:
python-tornado
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-9720.
Более подробная информация:

В python-tornado, масштабируемом неблокирующем веб-сервере на языке Python, была обнаружена уязвимость.

  • CVE-2014-9720

    CSRF-куки позволяет выполнять атаку через сторонний канал на TLS (BREACH)

    Исправление безопасности

    Токен XSRF теперь кодируется с помощью случайной маски при каждом запросе. Это позволяет безопасно включать его в сжатые страницы и делает неуязвимым к атаке по принципу BREACH.

В предыдущем старом стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.0.1-1+deb6u1.