Рекомендация Debian по безопасности

DSA-2934-1 python-django -- обновление безопасности

Дата сообщения:
19.05.2014
Затронутые пакеты:
python-django
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-0472, CVE-2014-0473, CVE-2014-0474, CVE-2014-1418, CVE-2014-3730.
Более подробная информация:

В Django, высокоуровневой инфраструктуре для веб-разработки на Python, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2014-0472

    Бенджамин Бах обнаружил, что Django некорректно обрабатывает пути Python с точками при использовании функции для определения URL reverse(). Атакующий, способный запросить специально сформированный вид от приложения Django, может использовать эту уязвимость для того, чтобы заставить Django импортировать произвольные модули из пути Python, что приводит к возможному выполнению произвольного кода.

  • CVE-2014-0473

    Пол Макмиллан обнаружил, что Django некорректно создаёт кэш определённых страниц, содержащих CSRF куки. Удалённый атакующий может использовать эту проблему для получения токена CSRF другого пользователя и обхода защиты CSRF в приложении Django.

  • CVE-2014-0474

    Михаэль Козярский обнаружил, что определённые модельные поля классов Django неправильно выполняют преобразование типов на своих аргументах, что позволяет удалённых атакующим получать неожиданные результаты.

  • CVE-2014-1418

    Михаэль Нельсон, Наталия Бидарт и Джейма Уэстби обнаружил, что кэшированные данные в Django могут использоваться в другой сессии, либо вообще для пользователя без сессии. Атакующий может использовать это для получения приватных данных или подделки кэша.

  • CVE-2014-3730

    Петер Кума и Гарвин Валь обнаружили, что Django некорректно проверяет определённые неправильные URL, полученные из пользовательского ввода. Атакующий может использовать эту проблему для организации перенаправлений.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.2.3-3+squeeze10.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.4.5-1+deb7u7.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 1.6.5-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.6.5-1.

Рекомендуется обновить пакеты python-django.