Debian-Sicherheitsankündigung

DSA-1640-1 python-django -- Mehrere Verwundbarkeiten

Datum des Berichts:
20. Sep 2008
Betroffene Pakete:
python-django
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 497765, Fehler 448838.
In Mitres CVE-Verzeichnis: CVE-2008-3909, CVE-2007-5712.
Weitere Informationen:

Simon Willison entdeckte eine Verwundbarkeit in Django, einem Python-basiertem Web-Framework. Die Funktion zum Speichern von HTTP-POST-Daten während der erneuten Benutzeranmeldung ermöglicht es entfernten Angreifern, mit Hilfe von Site-übergreifender Anfrage-Fälschung (Cross site request forgery) unerlaubt Daten zu manipulieren. Die Schwachstelle besteht, unabhängig davon, ob das Django-Plugin, das Site-übergreifende Manipulationen verhindern soll, aktiviert ist. Das Common Vulnerabilities and Exposures-Projekt identifiziert dieses Problem als CVE-2008-3909.

In Abstimmung mit der vom Ursprungsautor bevorzugten Lösung wird die betroffene Funktion mit dieser Aktualisierung gesperrt.

Weiterhin nutzt diese Aktualisierung die Gelegenheit, eine relativ unbedeutende Verwundbarkeit für Diensteverweigerungsattacken (denial of service) im Internationalisierungs-Rahmenwerk zu beseitigen, die als CVE-2007-5712 bekannt ist.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 0.95.1-1etch2 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.0-1 behoben.

Wir empfehlen, Ihr python-django-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.dsc
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.diff.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.