Рекомендация Debian по безопасности

DLA-272-1 python-django -- обновление безопасности LTS

Дата сообщения:
16.07.2015
Затронутые пакеты:
python-django
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-2317, CVE-2015-5143, CVE-2015-5144.
Более подробная информация:

В Django, высокоуровневой инфраструктуре веб-разработки на языке Python, было обнаружено несколько уязвимостей:

  • CVE-2015-2317

    Дэниель Чатфилд обнаружил, что python-django, высокоуровневая инфраструктура веб-разработки на языке Python, неправильно обрабатывает передаваемые пользователем перенаправления URL. Удалённый злоумышленник может использовать эту проблему для выполнения межсайтового скриптинга.

  • CVE-2015-5143

    Эрик Петерсон и Линь Хуа Чэн обнаружили, что новые пустые записи используются для создания сессионного хранилища каждый раз, когда происходит обращение к сессии и предоставляется неизвестный ключ сессии в запросе куки. Это позволяет удалённым злоумышленникам заполнять сессионное хранилище или удалять сессионные записи других пользователей.

  • CVE-2015-5144

    Съёрд Йоб Постмус обнаружил, что некоторые встроенные механизмы проверки неправильно отклоняют новые строки во входных значениях. Это может позволить удалённым злоумышленникам вводить заголовки в сообщения электронной почты и запросы HTTP.

В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.2.3-3+squeeze13.