requests sessions.py resolve_redirects会话固定漏洞

发布日期：2015-03-13
更新日期：2015-03-19受影响系统：
requests requests 2.1.0 - 2.5.3
描述：
CVE（CAN） ID: CVE-2015-2296 Requests是Apache2许可的HTTP库，是用Python编写的。Requests 2.1.0-2.5.3版本，sessions.py中的resolve_redirects函数存在安全漏洞，在重定向时没有正确处理不带host值的cookie，远程攻击者可利用此漏洞执行会话固定攻击。<*来源：Matthew Daley
*>建议：
厂商补丁：requests
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：https://warehouse.python.org/project/requests/2.6.0/参考：
http://www.ubuntu.com/usn/USN-2531-1
http://www.openwall.com/lists/oss-security/2015/03/14/4
https://github.com/kennethreitz/requests/commit/3bd8afbff29e50b38f889b2f688785a669b9aafc