Debians sikkerhedsbulletin

DSA-3678-1 python-django -- sikkerhedsopdatering

Rapporteret den:
26. sep 2016
Berørte pakker:
python-django
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-7401.
Yderligere oplysninger:

Sergey Bobrov opdagede at cookiefortolkning i Django og Google Analytics interagerede på en sådan måde, at en angriber kunne opsætte vilkårlige cookies. Dermed var det muligt for andre ondsindede websteder, at omgå Cross-Site Request Forgery-beskyttelserne (CSRF) indbygget i Django.

I den stabile distribution (jessie), er dette problem rettet i version 1.7.11-1+deb8u1.

I den ustabile distribution (sid), er dette problem rettet i version 1:1.10-1.

Vi anbefaler at du opgraderer dine python-django-pakker.