Säkerhetsbulletin från Debian

DSA-3010-1 python-django -- säkerhetsuppdatering

Rapporterat den:
2014-08-22
Berörda paket:
python-django
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-0480, CVE-2014-0481, CVE-2014-0482, CVE-2014-0483.
Ytterligare information:

Flera sårbarheter har upptäckts i Django, ett högnivåramverk för webbutveckling i Python. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2014-0480

    Florian Apolloner upptäckte att URL-reversing kunde generera scheme-relatva URLer som oförväntat kunde omdirigera en användare till en annan host, vilket kunde leda till phising-angrepp i vissa situationer.

  • CVE-2014-0481

    David Wilson rapporterade en sårbarhet för överbelastning i filuppladdning. Djangos hantering av uppladdning av filer i dess standardkonfiguration kan degradera till att producera en stor mängd `os.stat()`-anrop när ett duplicerat filnamn laddas upp. En fjärrangripare med rättigheter att ladda upp filer kan orsaka dålig prestanda i uppladdningshanteraren, eventuellt med resultatet att den blir väldigt långsam.

  • CVE-2014-0482

    David Greisen upptäckte att under vissa förutsättningar så kunde användningen av RemoteUserMiddleware middleware och RemoteUserBackend autentiseringsbakänden resultera i att en användare får en annan användares session, om en förändring till REMOTE_USER-rubriken sker utan motsvarande utloggning/inloggningshandlingar.

  • CVE-2014-0483

    Collin Anderson upptäckte att det är möjligt att avslöja all fältdata genom att modifiera popup och to_field-parametrarna i förfragesträngen på en formulärsida för administrationförändringar. En användare med åtkomst till administrationsgränssnittet, och med tillräcklig kunskap om modelstrukturen och de nödvändiga URLerna kunde konstruera popupvyer som visar värdena i icke-relationsfält, inklusive fält som applikationsutvecklaren har valt att inte göra synliga på detta sätt.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.5-1+deb7u8.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.6.6-1.

Vi rekommenderar att ni uppgraderar era python-django-paket.