Debians sikkerhedsbulletin

DSA-2934-1 python-django -- sikkerhedsopdatering

Rapporteret den:
19. maj 2014
Berørte pakker:
python-django
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-0472, CVE-2014-0473, CVE-2014-0474, CVE-2014-1418, CVE-2014-3730.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i Django, et webudviklingsframework på højt niveau til Python. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2014-0472

    Benjamin Bach opdagede at Django på ukorrekt vis håndterede dottede Python-stier, når URL-resolverfunktionen reverse() blev benyttet. En angriber med mulighed for at forespørge efter et særligt fremstillet view fra en Django-applikation, kunne udnytte problemer til at forårsage, at Django importerede vilkårlige moduler fra Python-stien, muligvis medførende kodeudførelse.

  • CVE-2014-0473

    Paul McMillan opdagede at Django på ukorrekt vis cachede visse sider, som indeholder CSRF-cookies. En fjernangriber kunne udnytte denne fejl til at få fat i en anden brugers CSRF-token, og omgå tilsigtet CSRF-bekyttelse i en Django-applikation.

  • CVE-2014-0474

    Michael Koziarski opdagede at visse Django-modelfeltklasser ikke på korrekt vis udførte typekonvertering på deres parametre, hvilket gjorde det muligt for fjernangribere at få adgang til uventede resultater.

  • CVE-2014-1418

    Michael Nelson, Natalia Bidart og James Westby opdagede at cachede data i Django kunne blive serveret for en anden session, eller til en bruger helt uden en session. En angriber kunne måske udnytte det til at hente private date eller forgifte cacher.

  • CVE-2014-3730

    Peter Kuma og Gavin Wahl opdagede at Django på ukorrekt vis validerede visse misdannede URL'er fra brugerinddata. En angriber kunne måske udnytte det til at forårsage uventede viderestillinger.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.2.3-3+squeeze10.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.4.5-1+deb7u7.

I distributionen testing (jessie), er disse problemer rettet i version 1.6.5-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.6.5-1.

Vi anbefaler at du opgraderer dine python-django-pakker.