Рекомендация Debian по безопасности

DSA-1640-1 python-django -- несколько уязвимостей

Дата сообщения:
20.09.2008
Затронутые пакеты:
python-django
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 497765, Ошибка 448838.
В каталоге Mitre CVE: CVE-2008-3909, CVE-2007-5712.
Более подробная информация:

Саймон Уиллисон обнаружил, что в Django, веб-инфраструктуре Python, возможность сохранения данных HTTP POST во время повторной аутентификации пользователя позволяет удалённому злоумышленнику выполнять неавторизованное изменение данных с помощью подделки межсайтового запроса. Это возможно вне зависимости от того, включены ли дополнения Django, предотвращающие подделку межсайтовых запросов. Проект Common Vulnerabilities and Exposures определяет эту проблему как CVE-2008-3909.

В данном обновлении указанная возможность отключена; это соответствует избранному в основной ветке решению данной ситуации.

Кроме того, данное обновление включает в себя исправление относительно небольшого отказа в обслуживании в инфраструктуре для интернационализации, известного как CVE-2007-5712.

В стабильном выпуске (etch) эти проблемы были исправлены в версии 0.95.1-1etch2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.0-1.

Рекомендуется обновить пакет python-django.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.dsc
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.