Debian-Sicherheitsankündigung
DSA-1640-1 python-django -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 20. Sep 2008
- Betroffene Pakete:
- python-django
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 497765, Fehler 448838.
In Mitres CVE-Verzeichnis: CVE-2008-3909, CVE-2007-5712. - Weitere Informationen:
-
Simon Willison entdeckte eine Verwundbarkeit in Django, einem Python-basiertem Web-Framework. Die Funktion zum Speichern von HTTP-POST-Daten während der erneuten Benutzeranmeldung ermöglicht es entfernten Angreifern, mit Hilfe von Site-übergreifender Anfrage-Fälschung (
Cross site request forgery
) unerlaubt Daten zu manipulieren. Die Schwachstelle besteht, unabhängig davon, ob das Django-Plugin, das Site-übergreifende Manipulationen verhindern soll, aktiviert ist. DasCommon Vulnerabilities and Exposures
-Projekt identifiziert dieses Problem als CVE-2008-3909.In Abstimmung mit der vom Ursprungsautor bevorzugten Lösung wird die betroffene Funktion mit dieser Aktualisierung gesperrt.
Weiterhin nutzt diese Aktualisierung die Gelegenheit, eine relativ unbedeutende Verwundbarkeit für Diensteverweigerungsattacken (
denial of service
) im Internationalisierungs-Rahmenwerk zu beseitigen, die als CVE-2007-5712 bekannt ist.Für die Stable-Distribution (Etch) wurden diese Probleme in Version 0.95.1-1etch2 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.0-1 behoben.
Wir empfehlen, Ihr python-django-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 4.0 (etch)
- Quellcode:
- http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.dsc
- http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.diff.gz
- http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1.orig.tar.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.