Debians sikkerhedsbulletin
DSA-1640-1 python-django -- flere sårbarheder
- Rapporteret den:
- 20. sep 2008
- Berørte pakker:
- python-django
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 497765, Fejl 448838.
I Mitres CVE-ordbog: CVE-2008-3909, CVE-2007-5712. - Yderligere oplysninger:
-
Simon Willison opdagede at i Django, et Python-webframework, tillod funktionaliteten til at bevare HTTP POST-data under brugergenautentificering, at en fjernangriber kunne udføre uautoriseret ændring af data gennem en forespørgselsforfalskning på tværs af webservere (cross site request forgery). Dette var muligt på trods af at Django-plugin'en til at forhindre forespørgselsforfalskning på tværs af webservere var aktiveret. Projektet Common Vulnerabilities and Exposures har registreret problemet som CVE-2008-3909.
I denne opdatering er den påvirkede funktionalitet deaktiveret; jf. opstrømsudviklernes foretrukne løsning af problemet.
Lejligheden er udnyttet til også at medtage en rettelse af et relativt lille lammelsesangreb (denial of service) i internationaliseringsframeworket, registreret som CVE-2007-5712.
I den stabile distribution (etch), er disse problemer rettet i version 0.95.1-1etch2.
I den ustabile distribution (sid), er disse problemer rettet i version 1.0-1.
Vi anbefaler at du opgraderer din python-django-pakke.
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.dsc
- http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.diff.gz
- http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1.orig.tar.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.