セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2529-1 python-django

Debian セキュリティ勧告

DSA-2529-1 python-django -- 複数の脆弱性

報告日時:

2012-08-14

影響を受けるパッケージ:

python-django

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 683364.
Mitre の CVE 辞書: CVE-2012-3442, CVE-2012-3443, CVE-2012-3444.

詳細:

Jeroen Dekkersさんはじめ幾人かの方々が Python ウェブフレームワーク Django の欠陥を報告しました。The Common Vulnerabilities and Exposures project が次に掲げる問題を定義しました。

• CVE-2012-3442

  二つの関数がリダイレクト先のスキーマを検査しておらず、data: URL を 介してリモートの攻撃者がクロスサイトスクリプティング（XSS）攻撃を 主導することを許すかもしれません。

• CVE-2012-3443

  ImageField クラスは画像の検査の中で完全に画像データを圧縮から復元し ますが、このせいでリモートの攻撃者が画像ファイルをアップロードして サービス拒否攻撃（メモリ消費）を仕掛けることを許しています。

• CVE-2012-3444

  画像処理の機能を担う get_image_dimensions 関数は、寸法の特定を試み る際にいつも決まったチャンクサイズを用いますが、これによってリモー トの攻撃者が巨大な TIFF 画像を使いサービス拒否攻撃（プロセスまたは スレッドの消費）を仕掛けることを許しています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1.2.3-3+squeeze3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 1.4.1-1 で修正されています。

直ぐに python-django パッケージをアップグレードすることを勧めます。