Debian 安全报告

DSA-1905-1 python-django -- 输入验证不足

报告日期:
2009/10/10
受影响的软件:
python-django
可被袭击:
参考的安全性数据库:
在 Debian 臭虫追踪系统中: 臭虫 550457.
更详尽的信息:

python-django 的表单程序库,一个高阶 Python 网站开发框架,在验证电子邮件与网址时使用了选择不当的 regular expression。 由于不适当的回溯 ,攻击者可以凭借特别精心制作的电子邮件或网址,通过 django 表单程序库验证执行阻断服务攻击 (100% CPU 占用量) 。

oldstable distribution (etch) 的 python-django,不受这个问题影响。

对于 stable distribution (lenny),这个问题已在 1.0.2-1+lenny2 版被修正。

对于 testing distribution (squeeze),这个问题很快会被修正。

对于 unstable distribution (sid),这个问题已在 1.1.1-1 版被修正。

我们建议你升级你的 python-django 软件包。

修改于:

Debian GNU/Linux 5.0 (lenny)

来源:
http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2-1+lenny2.dsc
http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2.orig.tar.gz
http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2-1+lenny2.diff.gz
与硬件无关的元件:
http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2-1+lenny2_all.deb

列出的档案的 MD5 检查可以由 original advisory 取得。