Säkerhetsbulletin från Debian

DSA-2529-1 python-django -- flera sårbarheter

Rapporterat den:
2012-08-14
Berörda paket:
python-django
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 683364.
I Mitres CVE-förteckning: CVE-2012-3442, CVE-2012-3443, CVE-2012-3444.
Ytterligare information:

Jeroen Dekkers och andra rapporterade flera sårbarheter i Django, ett Python-webbramverk. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2012-3442

    Två funktioner validerar inte schemat från ett redirect-mål, vilket kan tillåta fjärrangripare att utföra domänöverskridande skriptangrepp (XSS) via en data: URL.

  • CVE-2012-3443

    Klassen ImageField dekomprimerar fullständigt bilddata under bildvalidering, vilket tillåter fjärrangripare att orsaka en överbelastning (minneskonsumption) genom att ladda upp en bildfil.

  • CVE-2012-3444

    Funktionen get_image_dimensions i bild-hanteringsfunktionaliteten använder en konstant chunk-storlek i alla försök att avgöra dimensioner, vilket tillåter fjärrangripare att orsaka en överbelastning (process- eller trådkonsumption) via en stor TIFF-bild.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.2.3-3+squeeze3.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.4.1-1.

Vi rekommenderar att ni uppgraderar era python-django-paket.