Säkerhetsbulletin från Debian

DSA-2934-1 python-django -- säkerhetsuppdatering

Rapporterat den:
2014-05-19
Berörda paket:
python-django
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-0472, CVE-2014-0473, CVE-2014-0474, CVE-2014-1418, CVE-2014-3730.
Ytterligare information:

Flera sårbarheter har upptäckts i Django, ett Pythonbaserat högnivå webbutvecklingsramverk. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2014-0472

    Benjamin Bach upptäckte att Django felaktigt hanterar Pythonsökvägar med punkter vid användning av reverse() URL-resolverfunktionen. En angripare som kunde efterfråga en speciellt skapad vy från en Djangoapplikation kunde använda detta problem för att orsaka Django att importera godtyckliga moduler från Python-sökvägen, resulterande i möjlig kodexekvering.

  • CVE-2014-0473

    Paul McMillan upptäckte att Django felaktigt cachar vissa sidor som innehåller CSRF-kakor. En fjärrangripare kunde använda denna brist för att få CSRF-beviset för en annan användare och förbigå avsedda CSRF-skydd i en Django-applikation.

  • CVE-2014-0474

    Michael Koziarski upptäckte att vissa Django model field-klasser inte tillräckligt utför typkonvertering på sina argument, vilket tillåter fjärrangripare att få oväntade resultat.

  • CVE-2014-1418

    Michael Nelson, Natalia Bidart och James Westby upptäckte att cachad data i Django kom att servas för en annan session, eller till en användare helt utan session. En angripare kan använda detta för att få åtkomst till privat data eller för förgifta en cache.

  • CVE-2014-3730

    Peter Kuma och Gavin Wahl upptäckte att Django felaktigt validerar vissa missformade URLer från användarindata. En angripare kan använda detta för att orsaka oväntade omdirigeringar.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.2.3-3+squeeze10.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.5-1+deb7u7.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 1.6.5-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.6.5-1.

Vi rekommenderar att ni uppgraderar era python-django-paket.