Рекомендация Debian по безопасности

DSA-2529-1 python-django -- несколько уязвимости

Дата сообщения:
14.08.2012
Затронутые пакеты:
python-django
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 683364.
В каталоге Mitre CVE: CVE-2012-3442, CVE-2012-3443, CVE-2012-3444.
Более подробная информация:

Жерон Деккерс и другие сообщили о нескольких уязвимостях в Django, веб-инфраструктуре на языке Python. Проект Common Vulnerabilities and Exposures определяет следующие уязвимости:

  • CVE-2012-3442

    Две функции не выполняют проверку схемы цели перенаправления, что может позволить удалённым злоумышленникам выполнять атаки по межсайтовому скриптингу (XSS) с помощью URL data:.

  • CVE-2012-3443

    Класс ImageField полностью распаковывает данные изображения во время проверки изображения, что позволяет удалённым злоумышленникам вызывать отказ в обслуживании (чрезмерное потребление памяти) путём загрузки файла с изображением.

  • CVE-2012-3444

    Функция get_image_dimensions в функциональности по обработке изображений использует постоянный размер порции во всех попытках определения размеров, что позволяет удалённым злоумышленникам вызывать отказ в обслуживании (потребление ресурсов, выделенных процессу или потоку) с помощью большого изображения в формате TIFF.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.2.3-3+squeeze3.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.4.1-1.

Рекомендуется обновить пакеты python-django.