Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2163-1 python-django

Debians sikkerhedsbulletin

DSA-2163-1 python-django -- flere sårbarheder

Rapporteret den:

14. feb 2011

Berørte pakker:

python-django

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-0696, CVE-2011-0697.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i webudviklingsframeworket Django:

• CVE-2011-0696

  Af flere årsager blev den interne CSRF-beskyttelse tidligere ikke anvendt til at validere AJAX-forespørgsler. Men man opdagede at denne undtagelse kunne udnyttes med en kombination af browserplugins og omdirigeringer, og dermed ikke var tilstrækkelig.

• CVE-2011-0697

  Man opdagede at filuploadformularen var sårbar over for angreb i forbindelse med udførelse af skripter på tværs af websteder via filnavnet.

Det er vigtigt at bemærke, at denne opdatering medfører bagudinkompabilitet i mindre grad, på grund af rettelserne af ovennævnte problemer. For årsagerne her til, se: http://docs.djangoproject.com/en/1.2/releases/1.2.5 og i særdeleshed afsnittet Backwards incompatible changes.

Pakkerne i den gamle stabile distribution (lenny) er ikke påvirket af disse problemer.

I den stabile distribution (squeeze), er dette problem rettet i version 1.2.3-3+squeeze1.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 1.2.5-1.

Vi anbefaler at du opgraderer dine python-django-pakker.