Рекомендация Debian по безопасности

DSA-3010-1 python-django -- обновление безопасности

Дата сообщения:
22.08.2014
Затронутые пакеты:
python-django
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-0480, CVE-2014-0481, CVE-2014-0482, CVE-2014-0483.
Более подробная информация:

В Django, высокоуровневой инфраструктуре веб-разработки для Python, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2014-0480

    Флориан Аполлонер обнаружил, что в определённых ситуациях переворачивание URL может привести к созданию схематичных URL, которые могут неожиданно перемещать пользователя на другой узел, что приводит к фишинговым атакам.

  • CVE-2014-0481

    Дэвид Уилсон сообщил об отказе в обслуживании при загрузке файлов. Обработчик загрузки файлов в Django при настройке по умолчанию может создать множество системных вызовов `os.stat()` при загрузке файла, имя которого совпадает с уже загруженным. Удалённый злоумышленник, способный загружать файла может вызвать снижение производительности в обработчике загрузок файлов, из-за чего последний начинает работать очень медленно.

  • CVE-2014-0482

    Давид Грайзен обнаружил, что при определённых обстоятельствах использование связующего ПО RemoteUserMiddleware и движка аутентификации RemoteUserBackend может приводить к тому, что пользователь может получить сессию другого пользователя, если будет произведено изменение заголовка REMOTE_USER без соответствующих действий по выходу/входу.

  • CVE-2014-0483

    Колин Андерсон обнаружил, что можно получить данные любого поля путём изменения параметров popup и to_field в строке запроса на странице изменения административных опцией. Пользователь, имеющий доступ к интерфейсу администратора, а также достаточные знания структуры модели и соответствующих URL, может создать всплывающие виды, которые будут отображать значения некоторых полей, включая поля, которые не были предназначены разработчиком приложения к показу.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.4.5-1+deb7u8.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.6.6-1.

Рекомендуется обновить пакеты python-django.