Debian セキュリティ勧告

DSA-3010-1 python-django -- セキュリティ更新

報告日時:
2014-08-22
影響を受けるパッケージ:
python-django
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-0480, CVE-2014-0481, CVE-2014-0482, CVE-2014-0483.
詳細:

脆弱性が複数、高レベル Python ウェブ開発基盤 Django に発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CVE-2014-0480

    Florian Apolloner さんが、reverse() ルーチンが特定の状況で//から始まるURLを生成することを発見しています。 ユーザを不意に異なるホストにリダイレクトする可能性があり、 フィッシング (phishing) 攻撃につながります。

  • CVE-2014-0481

    David Wilson さんがファイルのアップロード機能にサービス拒否脆弱性を報告しています。 Django のファイルアップロード処理はデフォルト設定で、 名前の重複するファイルがアップロードされた場合に莫大な数の os.stat()システムコールを生成し、システム性能を落とす可能性があります。 ファイルをアップロードできるリモートの攻撃者がアップロードハンドラの著しい 性能低下を引き起こし、最終的にはシステムを非常に遅くできる可能性があります。

  • CVE-2014-0482

    David Greisen さんが、いくらかの状況下で RemoteUserMiddleware ミドルウェアと RemoteUserBackend 認証バックエンドを利用すると、 対応するログアウト/ログイン操作が行われずに REMOTE_USER ヘッダへの変更が発生した場合に、 あるユーザが別のユーザのセッションを受け取る可能性があることを発見しました。

  • CVE-2014-0483

    Collin Anderson さんが、管理者向け変更フォームのページでクエリー文字列の popup及びto_fieldパラメータを変更することで、 任意のフィールドのデータを暴露できることを発見しました。 管理インターフェイスへのアクセス権限があり、 モデル構造と適切なURLについて十分に知識のあるユーザが、 アプリケーションの開発者がそういった方法での公開を意図していないフィールド等、 関係のないフィールドの値を表示するポップアップ表示を構成することが可能です。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.4.5-1+deb7u8 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.6.6-1 で修正されています。

直ちに python-django パッケージをアップグレードすることを勧めます。