Simon Willison upptäckte att funktionen i Django, ett Python-webbramverk, som behåller HTTP POST-data under återautentisering av användare tillät en angripare utifrån att utföra oautentiserad modifiering av data genom serveröverskridande skriptförfalskningar. Detta är möjligt även när Django-insticksprogrammet för att förhindra serveröverskridande förfalskningsangrepp (Cross-site request forgery), CSRF) är aktiverat. Projektet Common Vulnerabilities and Exposures identifierar problemet som CVE-2008-3909.
I den här uppdateringen är den påverkade funktionen avaktiverad; detta är i linje med den lösning som uppströms föredrar i den här situationen.
Den här uppdateringen passar på att också rätta en relativt liten överbelastningsattack i internationaliseringsramverket, känd som CVE-2007-5712.
För den stabila utgåvan (Etch) har dessa problems rättats i version 0.95.1-1etch2.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.0-1.
Vi rekommenderar att ni uppgraderar era python-django-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.