Säkerhetsbulletin från Debian

DSA-1640-1 python-django -- flera sårbarheter

Rapporterat den:
2008-09-20
Berörda paket:
python-django
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 497765, Fel 448838.
I Mitres CVE-förteckning: CVE-2008-3909, CVE-2007-5712.
Ytterligare information:

Simon Willison upptäckte att funktionen i Django, ett Python-webbramverk, som behåller HTTP POST-data under återautentisering av användare tillät en angripare utifrån att utföra oautentiserad modifiering av data genom serveröverskridande skriptförfalskningar. Detta är möjligt även när Django-insticksprogrammet för att förhindra serveröverskridande förfalskningsangrepp (Cross-site request forgery), CSRF) är aktiverat. Projektet Common Vulnerabilities and Exposures identifierar problemet som CVE-2008-3909.

I den här uppdateringen är den påverkade funktionen avaktiverad; detta är i linje med den lösning som uppströms föredrar i den här situationen.

Den här uppdateringen passar på att också rätta en relativt liten överbelastningsattack i internationaliseringsramverket, känd som CVE-2007-5712.

För den stabila utgåvan (Etch) har dessa problems rättats i version 0.95.1-1etch2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.0-1.

Vi rekommenderar att ni uppgraderar era python-django-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.dsc
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1.orig.tar.gz
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2.diff.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/p/python-django/python-django_0.95.1-1etch2_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.