Debians sikkerhedsbulletin

DSA-3010-1 python-django -- sikkerhedsopdatering

Rapporteret den:
22. aug 2014
Berørte pakker:
python-django
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-0480, CVE-2014-0481, CVE-2014-0482, CVE-2014-0483.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i Django, et webudviklingframework på højt niveau til Python. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2014-0480

    Florian Apolloner opdagede at under visse omstændigheder, kunne URL-omvending generere scheme-relativ URL'er, som uventet kunne omdirigere en bruger til en anden vært, førende til phishing-angreb.

  • CVE-2014-0481

    David Wilson rapporterede som en lammelsesangrebssårbarhed ved filupload. Djangos håndtering af filupload kunne i sin standardopsætning falde tilbage til et enormt stort antal os.stat()-systemkald, når et duplikeret filnavn blev uploadet. En fjernangriber med mulighed for at uploade filer, kunne udvirke dårlig ydeevne i uploadhåndteringen, som endte med at gøre den meget langsom.

  • CVE-2014-0482

    David Greisen opdagede at under visse omstændigheder, kunne anvendelse af middlewaren RemoteUserMiddleware og autentifikationsbackend'en RemoteUserBackend medføre at en bruger modtog en anden brugers session, hvis en ændring til REMOTE_USER-headeren skete uden tilhørende logud-/logind-handlinger.

  • CVE-2014-0483

    Collin Anderson opdagede at det var muligt at afsløre ethvert felts data, ved at ændre parametrene popup og to_field i forespørgselsstrengen på en administratorsændringsformularside. En bruger med adgang til administrationsgrænsefladen, samt med tilstrækkelig viden om modelstrukturen og de korrekte URL'er, kunne fremstille popupvisning, hvilke kunne vise værdierne af ikke-relationsfelter, herunder felter som applikationsudvikleren ikke havde til hensigt at udstille på en sådan måde.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.4.5-1+deb7u8.

I den ustabile distribution (sid), er disse problemer rettet i version 1.6.6-1.

Vi anbefaler at du opgraderer dine python-django-pakker.