Рекомендация Debian по безопасности

DSA-3544-1 python-django -- обновление безопасности

Дата сообщения:
07.04.2016
Затронутые пакеты:
python-django
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 816434.
В каталоге Mitre CVE: CVE-2016-2512, CVE-2016-2513.
Более подробная информация:

В Django, высокоуровневой инфраструктуре для веб-разработки на Python, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2016-2512

    Марк Шример обнаружил, что некоторые передаваемые пользователем перенаправления URL, содержащие данные для аутентификации, обрабатываются некорректно, что потенциально позволяет удалённому злоумышленнику выполнять преднамеренные перенаправления или осуществлять атаки по принципу межсайтового скриптинга.

  • CVE-2016-2513

    Съёрд Постмус обнаружил, что Django позволяет последовательно перебирать пользователей через различия во временных затратах при обновлении коэффициента хэширующей пароль функции.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.4.5-1+deb7u16.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.7.7-1+deb8u4.

В тестируемом выпуске (stretch) эти проблемы были исправлены в версии 1.9.4-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.9.4-1.

Рекомендуется обновить пакеты python-django.