Debians sikkerhedsbulletin

DSA-1640-1 python-django -- flere sårbarheder

Rapporteret den:
20. sep 2008
Berørte pakker:
python-django
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 497765, Fejl 448838.
I Mitres CVE-ordbog: CVE-2008-3909, CVE-2007-5712.
Yderligere oplysninger:

Simon Willison opdagede at i Django, et Python-webframework, tillod funktionaliteten til at bevare HTTP POST-data under brugergenautentificering, at en fjernangriber kunne udføre uautoriseret ændring af data gennem en forespørgselsforfalskning på tværs af webservere (cross site request forgery). Dette var muligt på trods af at Django-plugin'en til at forhindre forespørgselsforfalskning på tværs af webservere var aktiveret. Projektet Common Vulnerabilities and Exposures har registreret problemet som CVE-2008-3909.

I denne opdatering er den påvirkede funktionalitet deaktiveret; jf. opstrømsudviklernes foretrukne løsning af problemet.

Lejligheden er udnyttet til også at medtage en rettelse af et relativt lille lammelsesangreb (denial of service) i internationaliseringsframeworket, registreret som CVE-2007-5712.

I den stabile distribution (etch), er disse problemer rettet i version 0.95.1-1etch2.

I den ustabile distribution (sid), er disse problemer rettet i version 1.0-1.

Vi anbefaler at du opgraderer din python-django-pakke.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.dsc
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.