Säkerhetsbulletin från Debian

DSA-3678-1 python-django -- säkerhetsuppdatering

Rapporterat den:
2016-09-26
Berörda paket:
python-django
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-7401.
Ytterligare information:

Sergey Bobrov upptäckte att cookie-tolkning i Django och Google Analytics interagerad på ett sätt som gjorde att en angripare kunde sätta godtyckliga cookies. Det tillåter andra illasinnade websidor att förbigå Cross-Site Request Forgery (CSRF)-skydd som är inbyggda i Django.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.7.11-1+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1:1.10-1.

Vi rekommenderar att ni uppgraderar era python-django-paket.