セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2163-1 python-django

Debian セキュリティ勧告

DSA-2163-1 python-django -- 複数の脆弱性

報告日時:

2011-02-14

影響を受けるパッケージ:

python-django

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-0696, CVE-2011-0697.

詳細:

複数の欠陥が Django ウェブ開発フレームワークに発見されました。

• CVE-2011-0696

  いくつかの理由から、これまでは内蔵の CSRF 攻撃に対する防御機能は AJAX の検証の際に使われていませんでした。しかしながら、 この例外がブラウザプラグインとリダイレクトの組み合わせにより攻撃可能で、 従って防御が不十分であることが発見されました。

• CVE-2011-0697

  ファイルアップロードフォームに、ファイル名を使ったクロスサイトスクリプティング攻撃を許す欠陥が発見されました。

この更新では小さい点ではありますが、上記問題の修正のため従来互換性を崩 している部分があることに注意してください。詳細は http://docs.djangoproject.com/en/1.2/releases/1.2.5/の、 Backwards incompatible changes 節の記載を参照ください。

旧安定版 (lenny) のパッケージはこの問題の影響を受けません。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 1.2.3-3+squeeze1 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、 この問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.2.5-1 で修正されています。

直ぐに python-django パッケージをアップグレードすることを勧めます。