Debian-Sicherheitsankündigung
DSA-1481-1 python-cherrypy -- Fehlende Eingabebereinigung
- Datum des Berichts:
- 05. Feb 2008
- Betroffene Pakete:
- python-cherrypy
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2008-0252.
- Weitere Informationen:
-
Es wurde entdeckt, dass eine Verzeichnisüberschreitungsverwundbarkeit in CherryPy, einem Python-basierten, objektorientierten Web-Entwicklungs-Framework, zu einer Diensteverweigerung (
denial of service
) führen kann, indem Dateien mittels einer missgestalteten Sitzungs-ID in Cookies gelöscht werden.Die alte Stable-Distribution (Sarge) enthält python-cherrypy nicht.
Für die Stable-Distribution (Etch) wurde dieses Problem in Version 2.2.1-3etch1 behoben.
Wir empfehlen Ihnen, Ihre python-cherrypy-Pakete zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 4.0 (stable)
- Quellcode:
- http://security.debian.org/pool/updates/main/p/python-cherrypy/python-cherrypy_2.2.1-3etch1.diff.gz
- http://security.debian.org/pool/updates/main/p/python-cherrypy/python-cherrypy_2.2.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/python-cherrypy/python-cherrypy_2.2.1-3etch1.dsc
- http://security.debian.org/pool/updates/main/p/python-cherrypy/python-cherrypy_2.2.1.orig.tar.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/p/python-cherrypy/python-cherrypy_2.2.1-3etch1_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.