Рекомендация Debian по безопасности

DSA-3678-1 python-django -- обновление безопасности

Дата сообщения:
26.09.2016
Затронутые пакеты:
python-django
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-7401.
Более подробная информация:

Сергей Бобров обнаружил, что грамматический разбор куки в Django и Google Analytics взаимодействуют таким образом, что злоумышленник может установить произвольные куки. Это позволяет другим веб-сайтам, контролируемым злоумышленниками, обходить встроенные в Django механизмы защиты от подделки межсайтовых запросов (CSRF).

В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.7.11-1+deb8u1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1:1.10-1.

Рекомендуется обновить пакеты python-django.