Debians sikkerhedsbulletin

DSA-3544-1 python-django -- sikkerhedsopdatering

Rapporteret den:
7. apr 2016
Berørte pakker:
python-django
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 816434.
I Mitres CVE-ordbog: CVE-2016-2512, CVE-2016-2513.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i Django, et webudviklingsframework på højt niveau til Python. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2016-2512

    Mark Striemer opdagede at nogle brugerleverede viderestillings-URL'er indeholdende grundlæggende autentificeringsoplysninger, på håndteret på ukorrekt vis, potentielt gørende det muligt for en fjernangriber at iværksætte en ondsindet viderestilling eller udførelse af skripter på tværs af websteder.

  • CVE-2016-2513

    Sjoerd Job Postmus opdagede at Django tillod brugerenumeration gennem timingforskelle på password hasher work factor-opgraderinger.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.4.5-1+deb7u16.

I den stabile distribution (jessie), er disse problemer rettet i version 1.7.7-1+deb8u4.

I distributionen testing (stretch), er disse problemer rettet i version 1.9.4-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.9.4-1.

Vi anbefaler at du opgraderer dine python-django-pakker.