Рекомендация Debian по безопасности

DLA-301-1 python-django -- обновление безопасности LTS

Дата сообщения:
26.08.2015
Затронутые пакеты:
python-django
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-5963, CVE-2015-5964.
Более подробная информация:

Возможный отказ в обслуживании в виде logout() из-за заполнения хранилища сессии.

Ранее сессия создавалась при анонимном обращении к виду django.contrib.auth.views.logout (учитывая, что этот вид не декорировался django.contrib.auth.decorators.login_required как на странице администратора). Это позволяло злоумышленнику легко создавать много новых записей сессии путём отправки повторных запросов, что потенциально заполняет хранилище сессии или приводит к удалению сессионных записей других пользователей.

django.contrib.sessions.middleware.SessionMiddleware был изменён так, чтобы пустые сессионные записи более не создавались.

Данная часть исправления получила идентификатор CVE-2015-5963.

Кроме того, методы contrib.sessions.backends.base.SessionBase.flush() и cache_db.SessionStore.flush() были изменены так, чтобы создание новой пустой сессии не происходило. Сопровождающим сторонних сессионных движков следует проверить наличие такой же уязвимости в их движке, а при её наличии исправить проблему.

Данная часть исправления получила идентификатор CVE-2015-5964.

Рекомендуется обновить пакеты python-django.