Рекомендация Debian по безопасности

DLA-349-1 python-django -- обновление безопасности LTS

Дата сообщения:
25.11.2015
Затронутые пакеты:
python-django
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-8213.
Более подробная информация:

Было обнаружено, что в фильтре шаблона даты в Django, инфраструктуры веб-разработки, имеется потенциальная утечка настроек.

Если приложение позволяет пользователям определять непроверенный формат для представления дат и передаёт этот формат фильтру дат, напр. {{ last_updated|date:user_date_format }}, то злоумышленник может получить любую закрытую информацию из настроек приложения путём определения ключа настроек вместо формата даты. напр. SECRET_KEY вместо "j/m/Y".

Для исправления этой проблемы в настоящее время функция, используемая в фильтре шаблона даты, django.utils.formats.get_format(), позволяет получать доступ только к настройкам формата даты и времени.

В Debian 6 Squeeze эта проблема была исправлена в python-django версии 1.2.3-3+squeeze15.