Debian セキュリティ勧告

DSA-2529-1 python-django -- 複数の脆弱性

報告日時:
2012-08-14
影響を受けるパッケージ:
python-django
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 683364.
Mitre の CVE 辞書: CVE-2012-3442, CVE-2012-3443, CVE-2012-3444.
詳細:

Jeroen Dekkersさんはじめ幾人かの方々が Python ウェブフレームワーク Django の欠陥を報告しました。The Common Vulnerabilities and Exposures project が次に掲げる問題を定義しました。

  • CVE-2012-3442

    二つの関数がリダイレクト先のスキーマを検査しておらず、data: URL を 介してリモートの攻撃者がクロスサイトスクリプティング(XSS)攻撃を 主導することを許すかもしれません。

  • CVE-2012-3443

    ImageField クラスは画像の検査の中で完全に画像データを圧縮から復元し ますが、このせいでリモートの攻撃者が画像ファイルをアップロードして サービス拒否攻撃(メモリ消費)を仕掛けることを許しています。

  • CVE-2012-3444

    画像処理の機能を担う get_image_dimensions 関数は、寸法の特定を試み る際にいつも決まったチャンクサイズを用いますが、これによってリモー トの攻撃者が巨大な TIFF 画像を使いサービス拒否攻撃(プロセスまたは スレッドの消費)を仕掛けることを許しています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1.2.3-3+squeeze3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 1.4.1-1 で修正されています。

直ぐに python-django パッケージをアップグレードすることを勧めます。