Debian セキュリティ勧告

DSA-2934-1 python-django -- セキュリティ更新

報告日時:
2014-05-19
影響を受けるパッケージ:
python-django
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-0472, CVE-2014-0473, CVE-2014-0474, CVE-2014-1418, CVE-2014-3730.
詳細:

脆弱性が複数、高レベル Python ウェブ開発基盤 Django に発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CVE-2014-0472

    Benjamin Bach さんが、Django が reverse() URL 分解関数利用時に「.」で構成される Python パスを誤って処理していることを発見しました。特別に細工したビューを Django アプリケーションからリクエストできる攻撃者がこの問題を悪用し、Django に Python パスから任意のモジュールをインポートさせることが可能で、 コードの実行につながる可能性があります。

  • CVE-2014-0473

    Paul McMillan さんが、Django が CSRF クッキーを含む特定のページを誤ってキャッシュしていることを発見しました。 リモートの攻撃者がこの欠陥を悪用して異なるユーザの CSRF 文字列を獲得し、Django アプリケーションで意図した CSRF 防護を迂回することが可能です。

  • CVE-2014-0474

    Michael Koziarski さんが、特定の Django モデルフィールドクラスが引数の型変換を適切に行っていないことを発見しました。 リモートの攻撃者に意図しない結果の取得を許します。

  • CVE-2014-1418

    Michael Nelson さんと Natalia Bidart さんと James Westby さんが、Django でキャッシュされたデータが、異なるセッションやセッションを何も持たないユーザに送られる可能性があることを発見しました。 攻撃者がこれを悪用して秘密データの取得やキャッシュを汚染することが可能です。

  • CVE-2014-3730

    Peter Kuma さんと Gavin Wahl さんが、Django がユーザから入力された特定の異常なURLを誤って検証していることを発見しました。 攻撃者はこれを悪用して予期しないリダイレクトを引き起こすことが可能です。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 1.2.3-3+squeeze10 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.4.5-1+deb7u7 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 1.6.5-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.6.5-1 で修正されています。

直ちに python-django パッケージをアップグレードすることを勧めます。